Блог - Инфо-Эксперт

14.08.2018

Данная информация будет полезна государственным учреждениям, сайты которых проходили проверку на безопасность. Если ее итогом стало письмо, содержащее подобную формулировку: “По имеющейся информации официальный сайт ‘название учреждения’ содержит в себе уязвимость информационной безопасности, связанную с функцией перенаправления пользователей в системе управления сайтом “1С-Битрикс”. Указанная уязвимость может быть использована потенциальным нарушителем информационной безопасности...”, мы расскажем о чем идет речь, и что с этим делать.

Под уязвимостью в данном случае понимают Open Redirect (открытые перенаправления) на вашем сайте. Если при редиректе пользователя не предупреждают о переходе, то сайт могут заподозрить в уязвимости к фишингу.

Звучит страшно, но волноваться не нужно. Эта проблема связана с тем, что изначально в Битрикс отключена защита редиректов. Мы подготовили инструкцию, как за 5 минут ограничить возможность использования нежелательных перенаправлений.

Чтобы все редиректы были защищены, вам нужно:

  1. Авторизоваться в административной части по адресу http://НАЗВАНИЕ_САЙТА/bitrix/ (вместо  НАЗВАНИЕ_САЙТА подставьте название вашего сайта), введя ваши логин и пароль.

  2. В левом меню перейти в раздел Настройки-Проактивная защита-Защита редиректов.

  3. Нажать кнопку «Включить защиту редиректов», если выводится сообщение «Защита редиректов от фишинга выключена». Если защита редиректов включена, пропускайте этот шаг.

  4. Перейти во вкладку «Параметры».

  5. В секции «Методы» выбрать все методы защиты от фишинга. Должны стоять галочки напротив следующих пунктов: «Проверять наличие HTTP-заголовка, описывающего ссылающуюся страницу», «HTTP-заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт» и «Добавлять цифровую подпись к перечисленным ниже URL».

  6. В секции «Действия» выбрать действие защиты от фишинга - «Показать сообщение о попытке перенаправления на другой сайт». Этот вариант не допустит несанкционированный и незаметный для пользователя редирект. Такое поведение соответствует рекомендациям OWASP, данным на сайте организации.

  7. Применить настройки, нажав кнопку «Сохранить».

Готово! Теперь все редиректы на вашем сайте защищены и соответствуют требованиям безопасности.



спасибо за просмотр!
Created by potrace 1.13, written by Peter Selinger 2001-2015

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
// подключение сквозной аналитики Битрикс24.