Блог

1с битрикс взлом админки

Управление сайтом. Политика конфиденциальности. Разработчикам Авторизация. Забыли свой пароль? Войти как пользователь. Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:. Мой Мир. Используйте вашу учетную запись на Битрикс24 для входа на сайт. Используйте вашу учетную запись Google для входа на сайт. Используйте вашу учетную запись VKontakte для входа на сайт. Используйте вашу учетную запись Мой Мир Mail. Используйте вашу учетную запись на Twitter.

Используйте вашу учетную запись на Facebook. Документация Что нового?

Cистематическая уязвимость сайтов, созданных на CMS 1С-Битрикс / Хабр

Кирилл Литвинов. Всем здравствуйте. Пробовал восстановление пароля - но он не отсылает на почту письмо с ключом Подскажите пожалуйста как можно восстановитель пароль, или его сменить через БД, или какой нибудь другой действенный способ. Max Pryazhevsky. Создайте и запустите скрипт: SergeyKovalev 16 августа в Мопед не мой. Часть Битрикса теперь официально именуется Bitrix Framework. Никто не запрещает не использовать админку Битрикса, не использовать никакие штатные компонента Битрикса и использовать Битрикс только в качестве фреймворка.

как перенести wordpress на хостинге

CodeKeeper 17 августа в Часть Битрикса теперь официально именуется Bitrix Framework Ну именовать они могут как угодно, но это не означает что так и. Ну во первых это не тоже самое, с тем что я приводил для примера с symfony components.

Во вторых, мне страшно представить, что будет если брать их сборник низкокачественного кода и что-то на нем делать. Вы правы, проблемы обнаруживаются, но конкретно этот сюжет, авто-тест не отрабатывал. Возможно что-то изменилось в В своей работе, я эту проблему встречаю у каждого второго сайта. StrikeBack 15 августа в И при чем тут собственно Битрикс?

Это не вина Битрикса, что разработчики не фильтруют входные данные. Был как-то забавный случай: Это я к тому, что фильтрации расширений мало. Заголовок спойлера Не надейтесь на фильтрацию по расширению.

Ничего себе! А когда это было? Сейчас, конечно, фильтр проактивки стал достаточно серьезным. Встретилось г. Твит сделан гораздо позже Версию Битрикса не скажу, к сожалению. Думаю, что не самая свежая на тот момент. Не надо версию, от греха подальше.

Молотком по Битриксу: выявляем 0day-уязвимости популярной CMS

В Битрикс сказать можно, хотя на практике не все обновляются и. В ваших конфигах для веб-серверов не учтены частные случаи: Конечно, все. В статье приведен элементарный пример фильтрации по списку. G-M-A-X 15 августа в Это не вина Битрикса, что разработчики не думают головой.

Такое можно сделать везде. Часто нужно хранить сырые данные. Никто не говорит про платформу Битрикс, как о источнике угрозы. Выше, в комментариях я написал, что явилось как один из вариантов причиной появления систематики этой угрозы безопасности.

На счет защиты и панацеи, htmlspecialchars — является одним из способов защиты от XSS. G-M-A-X 16 августа в Но предалагается, чтобы Битрикс что-то фиксил.

Один из способов, но не панацея. Ну в этом случае сырые данные может не нужны. А в другом нужны. Допустим name — это логин. Тогда для фильтрации обработку нужно будет использовать еще в фильтре. Или нужно пропустить часть html — ссылки, списки, рисунки в комментрии пользователя к статье.

Sowd 16 августа в Первый попавшийся интернет магазин на битриксе. Встроенный сканер не помог. Встроенный сканер и не поможет. BlancLoup 31 августа в Что обсуждают. Сейчас Вчера Неделя Вы не сможете решить эту задачу на собеседовании 9,8k Сергей Зонов: Как заменить лампочку на рабочем месте так, чтобы тебя не уволили?

Самое читаемое. Что курил конструктор: Рекомендуем Разместить. Скромный стартап в большой корпорации: Аккаунт Войти Регистрация. Услуги Реклама Тарифы Контент Семинары. Во время чтения множества статей по безопасности и описаний уязвимостей мне всегда становится интересно, какие действия исследователя предшествовали нахождению той или иной уязвимости.

Интересно лишь с одной целью — понимать, какие шаги делал исследователь, какие попытки предпринимал, что не получилось, какие средства и утилиты он использовал. Выясняя все это, можно сильно расширить свой кругозор, а нередко и просто довести до ума какие-то незавершенные идеи.

Кроме того, вводные части очень разбавляют технический текст и делают его интереснее. Как говорится, "хочешь сделать мир лучше — начни с себя", поэтому постараюсь описать весь процесс поиска уязвимостей как можно более подробно. А началось все с Форба, который как всегда ненавязчиво предложил написать образцовую статью на тему взлома CMS.

Видеоинструкция по управление сайтом на 1С-битрикс

На тот момент у меня была только одна заготовка — идея использования атрибута filesize для hijacking в Internet Explorer.

В любом случае, на добротную статью этого явно не хватало. Пообещав Форбу ответить до вечера, я попробовал использование атрибута filesize в демо-версии Internet Explorer 9. Но, к сожалению, фортуна повернулась мягким местом, и filesize от XML всегда возвращал 0. Твердо решив написать новую и интересную статью, я стал просматривать веб-приложения, которые было бы интересно исследовать.

Одним из первых в этом списке был 1С-Битрикс, на котором я и остановился.

SOS! забыл пароль к админке!!!!!

К слову, Битрикс — очень интересный движок, непростой, проверенный аудиторами, имеющий встроенные механизмы защиты от проведения атак. На эти механизмы есть сертификат по "соответствию требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium", кроме того, система имеет сертификат ФСТЭК по классу защиты от несанкционированного доступа.

Так что исследование обещало быть интересным. Последний раз до этого я интенсивно изучал Битрикс версии 8. На момент написания статьи актуальной версией была 9. Загрузив последнюю версию движка с официального сайта, я принялся за работу.

Первым делом я решил провести проверку системы ручным способом, просто щелкая по менюшкам и изучая функционал. Буквально сразу обратил внимание на BB-тэги, которые можно было использовать во встроенном редакторе при написании сообщений на форум, блог или комментарии. Чтобы проверить, как BB превращаются в нормальные HTML-тэги, и что при этом фильтруется, я создал сообщение, куда поместил все тэги с разными спецсимволами, как в значениях, так и на месте атрибутов.

Удивление пришло, когда кусок кода страницы в явном виде показал XSS. Это был самый банальный и самый изъезженный XSS при обработке:. Ради спортивного интереса посмотрел на часы — прошло четыре минуты с начала "исследования". Оставив такой вектор атаки на потом, про себя заметил, что придется еще обходить фильтр WAF, который не пропустит наивные попытки записать атрибут onload, style, onmouseover и другие классические атрибуты при эксплуатации уязвимости.

Продолжив бессистемное изучение функционала движка, я проверил еще несколько догадок, и все они оказались безуспешными. Кроме того, заметил странную особенность — при отправке запросов к системе от администратора, данные из них не фильтруются WAF. Сначала мне даже показалось, что "проактивная защита" просто не срабатывает. Недолго думая, я сразу написал письмо разработчикам Битрикс, которые очень заботятся о безопасности системы и всегда быстро отвечают на мои письма.

Как разъяснили разработчики, запросы, посылаемые от администратора и содержащие дополнительный защитный параметр sessid, не фильтруются WAF. Выполнение PHP-кода возможно сразу из админки, официально, ничего придумывать даже не надо, просто провести атаку CSRF, и вот он — веб-шелл!

Настроение сильно улучшилось: Перебирая разные параметры в движке, я хотел было уже закончить поиски уязвимостей и перейти к изучению защиты WAF. Но тут очередь дошла до модуля "Техническая поддержка". Пользователю предоставлялась возможность создавать обращения к техперсоналу с описанием своих проблем.

К каждому тикету можно прикрепить файл.

создание облачного хранилища на сервере

Не задумываясь о последствиях, я создал новый тикет и прикрепил к нему произвольный файл, который по случаю оказался PDF-документом. Затем перелогинился от администратора и посмотрел, что же отобразится в журнале заявок.

Множественные уязвимости в последних версиях CMS 1С-Битрикс. Видео атаки

Вся фильтрация работала на ура, но вот документ…. Щелкнем по ссылке с документом — его контент отобразился плагином Adobe Acrobat прямо в браузере на домене подопытного Битрикса. Тут что-то щелкнуло в голове, и память уже нейронная, а не оперативная принесла информацию о том, что внутри PDF может содержаться исполнимый JavaScript.

Все срасталось — браузер, cookies, нужный домен, JavaScript. Теперь уже вектор стал совершенно очевиден: Спортивный интерес опять побудил посмотреть на часы — прошло три с половиной часа с начала работы.

Под атаку попадала масса веб-приложений и веб-сервисов. Стоило углубиться в документацию, методы создания PDF-документов и сделать пример "вредоносного" документа. Тут меня ждали две преграды. Во-вторых, Adobe Acrobat имеет встроенный механизм защиты, который спрашивает подтверждения пользователя при взаимодействии документа с сетью. Бросать такую идею совершенно не хотелось, так что изучение документации продолжилось, и очень скоро принесло свои плоды.

Google помог скачать полный список функций этого зверя: Самое вкусное, как всегда, оказалось в конце, и последний, десятый раздел мануала назывался коротко и ясно — "URL functions".