вверх
14/08 2018
назад

Инструкция по устранению уязвимости перенаправлений в 1C-Битрикс: Управление сайтом

Данная информация будет полезна государственным учреждениям, сайты которых проходили проверку на безопасность. Если ее итогом стало письмо, содержащее подобную формулировку: “По имеющейся информации официальный сайт ‘название учреждения’ содержит в себе уязвимость информационной безопасности, связанную с функцией перенаправления пользователей в системе управления сайтом “1С-Битрикс”. Указанная уязвимость может быть использована потенциальным нарушителем информационной безопасности...”, мы расскажем о чем идет речь, и что с этим делать.

Под уязвимостью в данном случае понимают Open Redirect (открытые перенаправления) на вашем сайте. Если при редиректе пользователя не предупреждают о переходе, то сайт могут заподозрить в уязвимости к фишингу.

Звучит страшно, но волноваться не нужно. Эта проблема связана с тем, что изначально в Битрикс отключена защита редиректов. Мы подготовили инструкцию, как за 5 минут ограничить возможность использования нежелательных перенаправлений.

Чтобы все редиректы были защищены, вам нужно:

  1. Авторизоваться в административной части по адресу http://НАЗВАНИЕ_САЙТА/bitrix/ (вместо  НАЗВАНИЕ_САЙТА подставьте название вашего сайта), введя ваши логин и пароль.

  2. В левом меню перейти в раздел Настройки-Проактивная защита-Защита редиректов.

  3. Нажать кнопку «Включить защиту редиректов», если выводится сообщение «Защита редиректов от фишинга выключена». Если защита редиректов включена, пропускайте этот шаг.

  4. Перейти во вкладку «Параметры».

  5. В секции «Методы» выбрать все методы защиты от фишинга. Должны стоять галочки напротив следующих пунктов: «Проверять наличие HTTP-заголовка, описывающего ссылающуюся страницу», «HTTP-заголовок, описывающий ссылающуюся страницу, должен содержать текущий сайт» и «Добавлять цифровую подпись к перечисленным ниже URL».

  6. В секции «Действия» выбрать действие защиты от фишинга - «Показать сообщение о попытке перенаправления на другой сайт». Этот вариант не допустит несанкционированный и незаметный для пользователя редирект. Такое поведение соответствует рекомендациям OWASP, данным на сайте организации.

  7. Применить настройки, нажав кнопку «Сохранить».

Готово! Теперь все редиректы на вашем сайте защищены и соответствуют требованиям безопасности.



Доставка полезной информации от экспертов по Битрикс24!

Подпишитесь, и раз в неделю у вас на почте будет подборка полезных советов и обзоров про Битрикс24

Выберите рассылку

Интересно будет почитать

Как правильно уйти на новогодние праздники: 4 вещи, которые нужно не забыть сделать до Нового года 28.12.2022 Как правильно уйти на новогодние праздники: 4 вещи, которые нужно не забыть сделать до Нового года

Сайты сделаны! Сайты больше не принимаются! 13.01.2022 Сайты сделаны! Сайты больше не принимаются!

30 сентября - День интернета в России 29.09.2021 30 сентября - День интернета в России

Предыдущая: "Перехватчик — генератор лидов PRO" ver 2.0 Новая версия - новые возможности!
Следущая: Вниманию владельцев сайтов! Вы можете стать жертвой мошенничества!

На сайте используются cookie-файлы и другие аналогичные технологии. Для чего? Чтобы сделать ваше посещение комфортным и нашу работу эффективнее. Если вы прочитали это сообщение и остаетесь на сайте, значит не возражаете против использования этих технологий.

Created by potrace 1.13, written by Peter Selinger 2001-2015

Регистрация Забыли пароль?
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов: