Дана інформація буде корисна державним установам, сайти яких проходили перевірку на безпеку. Якщо її підсумком став лист, що містить таке формулювання: "За наявною інформацією офіційний сайт 'назва установи' містить в собі вразливість інформаційної безпеки, пов'язану з функцією перенаправлення користувачів в системі управління сайтом" 1С-Бітрікс ". Зазначена вразливість може бути використана потенційним порушником інформаційної безпеки ... ", ми розповімо про що йде мова, і що з цим робити.
Під вразливістю в даному випадку розуміють Open Redirect (відкриті перенаправлення) на вашому сайті. Якщо при редирект користувача не попереджають про перехід, то сайт можуть запідозрити в уразливості до фішингу.
Звучить страшно, але хвилюватися не потрібно. Ця проблема пов'язана з тим, що спочатку в Бітрікс відключена захист редиректів. Ми підготували інструкцію, як за 5 хвилин обмежити можливість використання небажаних перенаправлень.
Щоб все редіректи були захищені, вам потрібно:
Авторизуватися в адміністративній частині за адресою http: // НАЗВАНІЕ_САЙТА / bitrix / (Замість НАЗВАНІЕ_САЙТА підставте назву вашого сайту), ввівши ваші логін і пароль.
У лівому меню перейти в розділ Налаштування-Проактивний захист-Захист редиректів.
Натиснути кнопку «Включити захист редиректів», якщо виводиться повідомлення «Захист редиректів від фішингу виключена». Якщо захист редиректів включена, пропускайте цей крок.
Перейти у вкладку «Параметри».
У секції «Методи» вибрати всі методи захисту від фішингу. Повинні стояти галочки навпроти наступних пунктів: «Перевіряти наявність HTTP-заголовка, що описує посилається сторінку», «HTTP-заголовок, що описує посилається сторінку, повинен містити поточний сайт» і «Додавати цифровий підпис до перерахованих нижче URL».
У секції «Дії» вибрати дію захисту від фішингу - «Показати повідомлення про спробу перенаправлення на інший сайт». Цей варіант не допустить несанкціонований і непомітний для користувача редирект. Така поведінка відповідає рекомендаціям OWASP, даними на сайті організації .
Застосувати налаштування, натиснувши кнопку «Зберегти».
Готово! Тепер все редіректи на вашому сайті захищені і відповідають вимогам безпеки.