slider-arr arrow-right fb vk key
Created by potrace 1.13, written by Peter Selinger 2001-2015

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
Created by potrace 1.13, written by Peter Selinger 2001-2015

cooperation Начать сотрудничество

Выберите файл
slider-arr arrow-right fb vk key

Инструкция по устранению уязвимости перенаправлений в 1C-Битрикс: Управление сайтом

14.08.2018

Данная информация будет полезна государственным учреждениям, сайты которых проходили проверку на безопасность. Если ее итогом стало письмо, содержащее подобную формулировку: “По имеющейся информации официальный сайт ‘название учреждения’ содержит в себе уязвимость информационной безопасности, связанную с функцией перенаправления пользователей в системе управления сайтом “1С-Битрикс”. Указанная уязвимость может быть использована потенциальным нарушителем информационной безопасности...”, мы расскажем о чем идет речь, и что с этим делать.

Под уязвимостью в данном случае понимают Open Redirect (открытые перенаправления) на вашем сайте. Если при редиректе пользователя не предупреждают о переходе, то сайт могут заподозрить в уязвимости к фишингу.

Звучит страшно, но волноваться не нужно. Эта проблема связана с тем, что изначально в Битрикс отключена защита редиректов. Мы подготовили инструкцию, как за 5 минут ограничить возможность использования нежелательных перенаправлений.

Чтобы все редиректы были защищены, вам нужно:

  1. Авторизоваться в административной части по адресу http://НАЗВАНИЕ_САЙТА/bitrix/ (вместо  НАЗВАНИЕ_САЙТА подставьте название вашего сайта), введя ваши логин и пароль.

  2. В левом меню перейти в раздел Настройки-Проактивная защита-Защита редиректов.

  3. Нажать кнопку «Включить защиту редиректов», если выводится сообщение «Защита редиректов от фишинга выключена». Если защита редиректов включена, пропускайте этот шаг.

  4. Перейти во вкладку «Параметры».

  5. В секции «Методы» выбрать все методы защиты от фишинга. Должны стоять галочки напротив следующих пунктов: «Проверять наличие HTTP-заголовка, описывающего ссылающуюся страницу», «HTTP-заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт» и «Добавлять цифровую подпись к перечисленным ниже URL».

  6. В секции «Действия» выбрать действие защиты от фишинга - «Показать сообщение о попытке перенаправления на другой сайт». Этот вариант не допустит несанкционированный и незаметный для пользователя редирект. Такое поведение соответствует рекомендациям OWASP, данным на сайте организации.

  7. Применить настройки, нажав кнопку «Сохранить».

Готово! Теперь все редиректы на вашем сайте защищены и соответствуют требованиям безопасности.



спасибо за просмотр!

© 2004 - 2018   ООО «Инфо-Эксперт». ИНН 6449058776.

Наш адрес: г. Саратов, ул. Астраханская, 88 оф. 20.

Тел.: (8452) 65-90-63


Все права защищены. Перепубликация материалов сайта без официального разрешения запрещена.

Cоглашение об использовании сайта.  Данный интернет-сайт носит исключительно информационный характер и ни при каких условиях не является публичной офертой, определяемой положениями Статьи 437 (2) Гражданского кодекса РФ.