Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Інструкція щодо усунення вразливості перенаправлень в 1C-Бітрікс: Управління сайтом

Дана інформація буде корисна державним установам, сайти яких проходили перевірку на безпеку. Якщо її підсумком став лист, що містить таке формулювання: "За наявною інформацією офіційний сайт 'назва установи' містить в собі вразливість інформаційної безпеки, пов'язану з функцією перенаправлення користувачів в системі управління сайтом" 1С-Бітрікс ". Зазначена вразливість може бути використана потенційним порушником інформаційної безпеки ... ", ми розповімо про що йде мова, і що з цим робити.

Під вразливістю в даному випадку розуміють Open Redirect (відкриті перенаправлення) на вашому сайті. Якщо при редирект користувача не попереджають про перехід, то сайт можуть запідозрити в уразливості до фішингу.

Звучить страшно, але хвилюватися не потрібно. Ця проблема пов'язана з тим, що спочатку в Бітрікс відключена захист редиректів. Ми підготували інструкцію, як за 5 хвилин обмежити можливість використання небажаних перенаправлень.

Щоб все редіректи були захищені, вам потрібно:

  1. Авторизуватися в адміністративній частині за адресою http: // НАЗВАНІЕ_САЙТА / bitrix / (Замість НАЗВАНІЕ_САЙТА підставте назву вашого сайту), ввівши ваші логін і пароль. Авторизуватися в адміністративній частині за адресою http: // НАЗВАНІЕ_САЙТА / bitrix / (Замість НАЗВАНІЕ_САЙТА підставте назву вашого сайту), ввівши ваші логін і пароль

  2. У лівому меню перейти в розділ Налаштування-Проактивний захист-Захист редиректів. У лівому меню перейти в розділ Налаштування-Проактивний захист-Захист редиректів

  3. Натиснути кнопку «Включити захист редиректів», якщо виводиться повідомлення «Захист редиректів від фішингу виключена». Якщо захист редиректів включена, пропускайте цей крок. Натиснути кнопку «Включити захист редиректів», якщо виводиться повідомлення «Захист редиректів від фішингу виключена»

  4. Перейти у вкладку «Параметри». Перейти у вкладку «Параметри»

  5. У секції «Методи» вибрати всі методи захисту від фішингу. Повинні стояти галочки навпроти наступних пунктів: «Перевіряти наявність HTTP-заголовка, що описує посилається сторінку», «HTTP-заголовок, що описує посилається сторінку, повинен містити поточний сайт» і «Додавати цифровий підпис до перерахованих нижче URL». У секції «Методи» вибрати всі методи захисту від фішингу

  6. У секції «Дії» вибрати дію захисту від фішингу - «Показати повідомлення про спробу перенаправлення на інший сайт». Цей варіант не допустить несанкціонований і непомітний для користувача редирект. Така поведінка відповідає рекомендаціям OWASP, даними на сайті організації . У секції «Дії» вибрати дію захисту від фішингу - «Показати повідомлення про спробу перенаправлення на інший сайт»

  7. Застосувати налаштування, натиснувши кнопку «Зберегти». Застосувати налаштування, натиснувши кнопку «Зберегти»

Готово! Тепер все редіректи на вашому сайті захищені і відповідають вимогам безпеки.


Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.