bitrix spread php что это

ru_anticms

Вся правда о CMS.

Собственно таким вот образом можно прочитать свежую документацию 1C-Битрикс 7.x на любом сайте его использующем, включая секлаб. Таким образом можно однозначно понять какие модули Битрикса стоят, а какие нет (по содержимому справки слева). Неплохой подгон. 😀

В админку нас естесственно не пускают и попытка выйти за пределы приводит к сбросу соединения. Битрикс вообще пугливый.

Но мы пойдём другим путём.

Вот тебе бабушка тупая как пробка XSS.
Вот тебе дедушка инклюд файлов в тот же фрэйм (подгружаемый JS можно использовать дальше в URL).
Вот тебе внучка мой аватар. Для вставки кода, фильтр необходимо убедить что перед ним GIF 100×100 до 10Кб. Вот тебе жучка и премия рунета 2008 за вклад в развитие оного рунета. Не помню как зовут остальных героев сказки, поэтому засим остановимся.

Собственно мне с этих ребят смешно. И особо смешно. На фоне этого даже меркнет возможность регистрации с логином & nbsp; (пробел), & nbsp;& nbsp; (два пробела) и т.д. Эти люди научат вас безопасности, ага. 😉

Общеизвестно, что Битрикс хорош на сверхвысоких нагрузках и его используют такие высоконагруженные сайты как Эльдорадо, Cosmopolitan и PC Magazine и т.д., и т.п. Между тем имею давнее наблюдение, что чем более глобальный ресурс админится, тем более ушастые люди его админят.. =)

Расскажу немного о платформе 1C-Битрикс 7.x. Уверен, что пример выше должен однозначно доказывать, что безопасность 1С-Битрикса состоит в том что мало кто из простых людей его эксплуатировал и многих пугает уже само это слово. За Битриксом стойко закрепилась слава самой сложной CMS из существующих, которой надо учиться на специальных курсах. Тем более читателю будет интересно узнать, что за «ноу-хау», что за сверхсекретные технологии используются в данной разработке.

Начнём с технологии переноса пользователей между сайтами. В принципе, чтобы заюзать эти курсы, сейчас не требуется даже авторизация (аналогично справке выше), поэтому поделюсь ссылкой.

Каждый сайт Битрикса содержит набор IFRAME’ов (которые его безбожно тормозят, создавая Битриксу репутацию самой тормозной CMS), в каждом из которых вызывается скрипт http://доменное имя сайта/bitrix/spread.php с того домена на который необходимо установить cookie. Надо ли говорить как все мы любим устанавливать cookie? =)

В аргументах spread.php будет передана информация необходимая для установки cookie. Эта информация передается в зашифрованном виде и подписана зашифрованным лицензионным ключом этого портала. Собственно, все эти данные прекрасно снифиряться любым посетителем любого из сайтов, а расшифровка их необязательна так как мы можем просто захотеть «втереться» в доверие к 1С-Битриксу со своим сайтом.

Важно! Будьте внимательны при указании доменных имен сайта. Если на сайте используется технология cookies, то в случае некорректного указания доменных имен при просмотре пользователем страниц вашего сайта также будет выполняться обращение и к другому сайту (доменное имя которого указано по ошибке).

Если на сайте, доменное имя которого указано по ошибке, предусмотрен показ всплывающих окон, то посетителям вашего сайта также будет выполняться показ этих окон.

Например, если для сайта http://demo.bitrixsoft.com/ вместо demo.bitrixsoft.com указано demo.bitirxsoft.com, то в код страниц сайта http://demo.bitrixsoft.com/ будет добавлен код вида:

IFRAME style = «width:0px; height:0px; border: 0px»

k=9e8de698c64709edf2e76202279ce889″ > / IFRAME >

В результате посетителям сайта http://demo.bitrixsoft.com/ будет выполняться показ всплывающих окон сайта с доменным именем demo.bitirxsoft.com.

Оценили? А может ли защититься от этого владелец сайта на Битриксе? Цитирую документацию:

Каждое доменное имя является «маской», т.е. может включать субдомены. Например, по имени site.ru могут быть выбраны www.site.ru или www1.site.ru, а также my-site.ru. В данном случае site.ru частично входит в состав всех трех доменных имен.

Как мы видим ошибаться необязательно. Кто первый зарегестрирует besecuritylab.ru? ))

А дальше? А дальше Live HTTP Headers для Firefox нам поможет в изучении существующих сайтов на 1С-Битрикс 7.x Сайты сопряжённые (в рамках лицензии 1С-Битрикс и супер-айфреймовой-технологии) могут оказаться чёрным ходом. Для securitylab.ru таким сайтом является некий bsau.ru. Для остальных популярных сайтов на Битриксе найдите пары самостоятельно, узнаете много интересного.

По документации красной строкой проходит программирование (которое вообще-то должно быть чуждо пользователю CMS). Возвращаясь к документации, отсюда следует такой момент как написание индексного файла для переключения между открытыми сайтами на Битриксе по-образцу из документации силами самого пользователя. (!) Конечно, как правило эти файлы пишут внешние молодцы и проект на Битриксе стоит существенного капитала. Но! Часть клиентов 1С-Битрикс предпочитают сэкономить, а часть аутсорсеров-гастрабайтеров элементарно не умеет писать безопасный php. Я намекаю: значительная часть. Таким образом, именно индексные файлы и разного рода «перебрасывалки» с домена на домен оказываются бажными. Потому что действует человеческий фактор.

Разумеется, вся приведённая информация опубликована исключительно в ознакомительных целях. Ну и там, вишесы коллегам по HackAROUND. Спешал фо бисекьюр. )

10000-3 сайтов, например Cosmpolitan, Компьютерра, и т.д, и т.п.

Источник

Уязвимость Bitrix. Как собрать персональные данные и заспамить недруга

Мы в «Иващенко и Низамов» занимаемся поисковым продвижением сайтов, контекстной и таргетированной рекламой. Иногда в процессе работы мы решаем задачи, которые, откровенно говоря, решать не должны. И вот это как раз такой случай.

Примерно год назад у одного из наших клиентов возникла проблема. Нагрузка на MySQL стала столь значительной, что хостер прислал уведомление следующего вида:

DDoS? Ок, мы принялись изучать, в чем проблема.

Беглый анализ навел на две, одинаково неприятные, мысли:

Еще было подозрение на погоду. Мало ли, надуло.

Если скачивание картинок с сайта чревато такими опасностями, значит, мы поостережемся, угомоним свои амбиции и проверку на вирусы пока отложим. Вместе с тем прикинем, не сменить ли условия хостинга.

Тем временем хостер написал еще одно обиженное письмо. А у нас подошло время полной ежемесячной проверки сайта, и в «Вебмастере» были обнаружены коварные ссылочки (очень много) следующего вида:

Сайты, которые ссылались на наш проект, были, мягко говоря, плохие. Даже не МФА, а просто не пойми что. Очень неприятный звоночек.

Таким способом несколько лет назад валили казахстанские банки. Использовали open redirect для фишингового сбора данных.

Уязвимость позволяет любому сайту закинуть на свою страницу ссылку вида:

Т.е. вы заходите неизвестно куда, а там написано: стопятьсот рублей за участие в программе лояльности вашего банка (любимого онлайн-магазина, форума и т.п.), просто пройдите по ссылке. Никаких предупреждений о том, что вы покидаете доверенную зону и отправляетесь неизвестно куда, не будет.

Как такое возможно? А вот как.

Проблема в родной конфигурации «Битрикс». Это rk.php и redirect.php — служебные файлы, используемые системой для сбора статистики редиректов пользователей при клике по баннерам и ссылкам.

Аналогичная схема может действовать в почтовых рассылках, сообщениях в блогах и социальных сетях и т. д. и т. п. Цель злоумышленника: прикрыться трастовым доменом, чтобы заставить пользователя совершить целевое действие (оставить свои персональные или платежные данные).

Другая цель: испортить представление поисковых систем о вашем сайте. Потому что робот увидит миллион «не тех» ссылок, лучше (хуже) чтобы ссылки шли на что-то совсем неудобоваримое, типа троянов, и накажет. Опять же, скорость и доступность вашего сайта будут ограничены.

Нет однозначного решения, как это исправить. Форумы переполнены болью.

Мы решили бороться по-простому:

Что вы думаете, помогло? Не тут-то было.

Эмоции немножко накалились. И мы стали биться в двери «Битрикс». Что они нам изначально ответили? Ну конечно же, выслали перечень типизированных работ, которые мы уже провели!

Пишем, что все сделали, а результатов нет.

МХАТ. Пауза.

И к нашему великому удивлению решение поддержки было следующим:

Пожалуй, это и смешно, и грустно. Поддержка «Битрикса» рекомендует удалить кусок, пусть и небольшой, собственного продукта. И это помогает.

Напоминаем, проблеме уже не один год. И хотя на официальном форуме «Битрикс» старт обсуждения датируется 2004 годом, никаких упоминаний об этой лазейке в документации нет.

Пожалуй, не стоит дожидаться сюрпризов, а лучше сразу сходить и выпилить содержимое этих директорий, попрощавшись с возможностью адекватно оценивать статистику баннеров на своем сайте.

Материал подготовлен Еленой Кулишкиной. «Иващенко и Низамов»

В качестве консультанта выступил из сумрака наш разработчик: Илья Соловьев

Читателям SPARK мы предлагаем проверить свой сайт у наших специалистов совершенно бесплатно, заказав SEO-аудит с помощью промокода SPARK1809.

Источник

Бумага стерпитъ

имеет статус мыслей вслух.

пятница, 6 февраля 2009 г.

Плюшевый Битрикс

или инструкция по разведению Секлабов

UPD: Я публиковал эту свою статью на besecure, но besecure прикрыт и показывает «It works!». Будем надеяться Zarin и Drac вернут ребёнка на планету, а пока восстановлю её здесь.

Собственно таким вот образом можно прочитать свежую документацию 1C-Битрикс 7.x на любом сайте его использующем, включая секлаб. Таким образом можно однозначно понять какие модули Битрикса стоят, а какие нет (по содержимому справки слева). Неплохой подгон. 😀

В админку нас естесственно не пускают и попытка выйти за пределы приводит к сбросу соединения. Битрикс вообще пугливый.

Но мы пойдём другим путём.

Вот тебе бабушка тупая как пробка XSS.
Вот тебе дедушка инклюд файлов в тот же фрэйм (подгружаемый JS можно использовать дальше в URL).
Вот тебе внучка мой аватар. Для вставки кода, фильтр необходимо убедить что перед ним GIF 100×100 до 10Кб. Вот тебе жучка и премия рунета 2008 за вклад в развитие оного рунета. Не помню как зовут остальных героев сказки, поэтому засим остановимся.

Собственно мне с этих ребят смешно. И особо смешно. На фоне этого даже меркнет возможность регистрации с логином & nbsp; (пробел), & nbsp;& nbsp; (два пробела) и т.д. Эти люди научат вас безопасности, ага. 😉

Общеизвестно, что Битрикс хорош на сверхвысоких нагрузках и его используют такие высоконагруженные сайты как Эльдорадо, Cosmopolitan и PC Magazine и т.д., и т.п. Между тем имею давнее наблюдение, что чем более глобальный ресурс админится, тем более ушастые люди его админят.. =)

Расскажу немного о платформе 1C-Битрикс 7.x. Уверен, что пример выше должен однозначно доказывать, что безопасность 1С-Битрикса состоит в том что мало кто из простых людей его эксплуатировал и многих пугает уже само это слово. За Битриксом стойко закрепилась слава самой сложной CMS из существующих, которой надо учиться на специальных курсах. Тем более читателю будет интересно узнать, что за «ноу-хау», что за сверхсекретные технологии используются в данной разработке.

Начнём с технологии переноса пользователей между сайтами. В принципе, чтобы заюзать эти курсы, сейчас не требуется даже авторизация (аналогично справке выше), поэтому поделюсь ссылкой.

Каждый сайт Битрикса содержит набор IFRAME’ов (которые его безбожно тормозят, создавая Битриксу репутацию самой тормозной CMS), в каждом из которых вызывается скрипт http://доменное имя сайта/bitrix/spread.php с того домена на который необходимо установить cookie. Надо ли говорить как все мы любим устанавливать cookie? =)

В аргументах spread.php будет передана информация необходимая для установки cookie. Эта информация передается в зашифрованном виде и подписана зашифрованным лицензионным ключом этого портала. Собственно, все эти данные прекрасно снифиряться любым посетителем любого из сайтов, а расшифровка их необязательна так как мы можем просто захотеть «втереться» в доверие к 1С-Битриксу со своим сайтом.

Важно! Будьте внимательны при указании доменных имен сайта. Если на сайте используется технология cookies, то в случае некорректного указания доменных имен при просмотре пользователем страниц вашего сайта также будет выполняться обращение и к другому сайту (доменное имя которого указано по ошибке).

Если на сайте, доменное имя которого указано по ошибке, предусмотрен показ всплывающих окон, то посетителям вашего сайта также будет выполняться показ этих окон.

Например, если для сайта http://demo.bitrixsoft.com/ вместо demo.bitrixsoft.com указано demo.bitirxsoft.com, то в код страниц сайта http://demo.bitrixsoft.com/ будет добавлен код вида:

В результате посетителям сайта http://demo.bitrixsoft.com/ будет выполняться показ всплывающих окон сайта с доменным именем demo.bitirxsoft.com.

Оценили? А может ли защититься от этого владелец сайта на Битриксе? Цитирую документацию:

Каждое доменное имя является «маской», т.е. может включать субдомены. Например, по имени site.ru могут быть выбраны www.site.ru или www1.site.ru, а также my-site.ru. В данном случае site.ru частично входит в состав всех трех доменных имен.

Как мы видим ошибаться необязательно. Кто первый зарегестрирует besecuritylab.ru? ))

А дальше? А дальше Live HTTP Headers для Firefox нам поможет в изучении существующих сайтов на 1С-Битрикс 7.x Сайты сопряжённые (в рамках лицензии 1С-Битрикс и супер-айфреймовой-технологии) могут оказаться чёрным ходом. Для securitylab.ru таким сайтом является некий bsau.ru. Для остальных популярных сайтов на Битриксе найдите пары самостоятельно, узнаете много интересного.

По документации красной строкой проходит программирование (которое вообще-то должно быть чуждо пользователю CMS). Возвращаясь к документации, отсюда следует такой момент как написание индексного файла для переключения между открытыми сайтами на Битриксе по-образцу из документации силами самого пользователя. (!) Конечно, как правило эти файлы пишут внешние молодцы и проект на Битриксе стоит существенного капитала. Но! Часть клиентов 1С-Битрикс предпочитают сэкономить, а часть аутсорсеров-гастрабайтеров элементарно не умеет писать безопасный php. Я намекаю: значительная часть. Таким образом, именно индексные файлы и разного рода «перебрасывалки» с домена на домен оказываются бажными. Потому что действует человеческий фактор.

Разумеется, вся приведённая информация опубликована исключительно в ознакомительных целях. Ну и там, вишесы коллегам по HackAROUND. Спешал фо бисекьюр. )

10000-3 сайтов, например Cosmpolitan, Компьютерра, и т.д, и т.п.

Источник

Бэкдор во взломанном 1С-Битрикс: под угрозой сотни сайтов

Вообще, взлом CMS это не такая редкая штука. Постоянно то и дело появляются разные нескучные уязвимости которые эксплуатируют все, кому не лень. Сложнее всего тогда, когда компоненты сайта, которые построены на каких-либо массовых платформах не обновляются, их взламывают, и хуже, когда это происходит массово. Но по специфике работы не привыкать к анализу таких проблем, выяснением «кто виноват» и самое важное тут убедиться в том, что дело именно в сайте.

Анализируя содержимое сайта, что первое бросается в глаза, так это наличие нехарактерного мусора:

Таких файлов, как правило, быть вообще не должно. Хорошо, смотрим на дату создания таких файлов и лезем в логи для анализа что происходило на сайте в какой-то промежуток времени. Тут всё оказалось проще, чем хотелось бы:

Видно простой перебор файлов по словарю. Все запросы летят с одного IP, а главное, видно файл new.php, который вместо 404 вернул редирект 302, и сразу после этого видим POST на /bitrix/admin. Вау! Что же это такое?

Те, кто хоть раз в жизни писал код для битрикса, сразу же поймет что этот код делает. А кто не писал, то всё просто: делает авторизацию под пользователем с который как правило является админом сайта.

Пробегаемся поиском по паттерну и находим сразу три таких файла с одинаковым содержимым:

bitrix/admin/mobile/new.php
bitrix/tools/new.php
bitrix/new.php

Почему не только лишь все?

Держите свои сайты в безопасности и не позволяйте случаться таким неприятным ситуациям.

Источник

Что нужно знать программисту про интеграцию сайта и 1С

Нельзя просто взять и интегрировать сайт с 1С. (с) Народное творчество.

Цель написания поста – изложить всю информацию по теме человеческим языком.

Интеграция сайта на 1С-Битрикс: Управление сайтом и 1С — неисчерпаемый источник вопросов и проблем. На сайте идей для Битрикс в соответствующем разделе 16 страниц, на форуме про это больше 23 000 сообщений. В форме обращения в техподдержку Битрикса есть даже отдельный тип заявки «Обмен с 1С».

Считается, что интеграция 1С и сайта на Битриксе должна работать из коробки. Самые простые функции действительно можно запустить за час-два. А вот на доработку обмена можно потратить и 10, и 100 часов.

Доработка обмена сайта и 1С — это уже магия уровня «эксперт», пугает даже бородатого опытного разработчика. В этой статье мы поговорим о том, как происходит обмен данными между этими двумя монстрами и как можно расширять возможности этого обмена. Статья содержит множество технических деталей обмена и будет полезна в основном программистам, которые хотят разобраться в предмете.

В данной статье будет рассмотрена общая теория обмена между двумя IT-системами и два стандартных обмена между 1С и сайтом на 1С-Битрикс: обмен товарами и обмен справочниками.

Немного теории

Интеграция — обмен информацией между двумя IT-системами. Иногда называют просто обмен. Определяется форматом данных, протоколом (стандартом) передачи данных, алгоритмом работы

Формат = как выглядят данные (например, XML, YML, JSON, CSV).

Протокол = как данные оказываются в другом месте (например, HTTP, SIP, SMTP, FTP).

Алгоритм = что при этом происходит. Представляется блок-схемой или диаграммой UML Activity.

обмен товарами между самописной учетной системой и сайтом (протокол FTP, формат CSV);

парсинг курсов валюты с сайта ЦБ РФ (протокол HTTP, формат XML);

интеграция сайта с Яндекс.Маркет (протокол HTTP, формат YML).

Процедуру обмена можно разделить на 3 части:

Экспорт данных из системы А в требуемый формат

Импорт данных требуемого формата в систему Б.

Часто весь обмен называют «импорт» («загрузка») и «экспорт» («выгрузка»). Это не ошибка, по такой формулировкой говорящий показывает, точка зрения какой системы ему ближе. То, что для 1С экспорт товаров, для Битрикса импорт. В дальнейшем тексте статьи мы не будем использовать эти понятия, чтобы не порождать двусмысленности.

Резюме

Интеграция — обмен данными между двумя системами.

Формат — как выглядят данные.

Протокол — как передаются данные.

Стандартные возможности обмена 1С и Битрикса

«Из коробки» (без доработок программиста) работают 4 типа обмена:

товары из 1С на сайт (тип «catalog»);

справочники из 1С на сайт (тип «reference»);

пользователей/контрагентов из 1С на сайт (тип «sale»);

Протокол

Все взаимодействия между 1С и Битриксом проводятся по HTTP, синхронно. Т.о. 1С подобна браузеру, она «открывает» специальную страницу, отправляет данные (методами POST и GET) и получает текстовый ответ. Есть даже способ имитировать выгрузку из 1С браузером (и мы часто используем этот трюк во время разработки и отладки). Подробнее про отладку мы рассказали в предыдущей статье «Типовые ошибки интеграции между 1С и 1С-Битрикс».

В терминах сетевых взаимодействий 1С — клиент, а сайт — сервер. Обращения всегда инициируются на стороне 1С. В 1С есть настройки адреса сайта, сайт про 1С не знает ничего.

Протокол синхронный. 1С отправляет следующий запрос на сайт только после получения ответа на предыдущий (или получения ошибки таймаута).

Формат

Данные передаются в двух форматах.

Первый формат — текстовый для ответов сайта на запросы из 1С. Сайт выводит в первой строке ответа «success», если завершил некую процедуру, «progress», если продолжает ее выполнять и «error» или «failure», если была ошибка. В последующих строках могут быть дополнительные данные (зависит от каждого конкретного запроса).

Алгоритм

Подготовка к обмену

Выше мы уже сказали, что протокол обмена — синхронный HTTP. Все перечисленные типы обмена подразумевают выполнение нескольких запросов (шагов обмена) друг за другом. Первые два шага одинаковы для любого типа обмена, различия начинаются дальше

Источник