Статьи

1С-Бітрікс - Безпека

  1. Безпека «1С-Бітрікс: Управління сайтом»
  2. Захист від DDoS
  3. Проактивний фільтр (Web Application Firewall)
  4. Аудит безпеки PHP-коду
  5. Веб-антивірус
  6. Панель безпеки з рівнями захищеності
  7. Безпечна авторизація без SSL
  8. Журнал вторгнень
  9. одноразові паролі
  10. Персональний генератор одноразових паролів для сайту (OTP)
  11. Контроль цілісності файлів
  12. Перевірка цілісності скрипта контролю
  13. Захист адміністративного розділу
  14. захист сесій
  15. контроль активності
  16. стоп лист
  17. «Хмарний» сканер безпеки
  18. «Сканер безпеки» стежить за безпекою проекту
  19. незалежний аудит
  20. Безпека «1С-Бітрікс: Управління сайтом»
  21. Коли сайт - це імідж і репутація
  22. Уразливості веб-додатків
  23. Інформація для розробників
  24. Безпека інформаційного середовища

проактивний захист

Безпека «1С-Бітрікс: Управління сайтом»


Модуль «Проактивний захист»


Модуль «Проактивний захист» входить в систему «1С-Бітрікс: Управління сайтом». Модуль реалізує потужний комплекс захисних заходів для сайту і сторонніх додатків.

«Проактивний захист» - це принципово новий підхід до концепції веб-безпеки, при якому змінюється саме поняття реакції веб-додатки на спроби вторгнення. Випуск «Проактивним захисту» є продовженням багаторічної роботи компанії по забезпеченню безпеки інтернет-проектів. Але вперше нам вдалося настільки істотно посилити захищеність сайтів і знизити залежність клієнтів від найбільш частих помилок веб-розробників »

Генеральний директор, «1С-Бітрікс», Сергій Рижиков

«Проактивний захист» - новий підхід до веб-безпеки «Проактивний захист» - новий підхід до веб-безпеки

Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки і дозволяють значно розширити поняття захищеності і реакції веб-додатків на загрози.
Це цілий ряд технічних рішень щодо забезпечення безпеки продукту і розроблених веб-додатків. Кілька рівнів захисту від більшості відомих атак на веб-додатки включає цей модуль. І кожен рівень серйозно підвищує безпеку розроблених вами інтернет-проектів.
Однією з першорядних завдань для власників веб-проектів є якісна і надійний захист від хакерських атак, злому і крадіжки зберігається на сайті інформації.

На фестивалі хакерів CC9 проведено конкурс, учасникам якого було необхідно обійти систему «Проактивним захисту» сайту і скористатися заздалегідь підготовленими уразливими різних типів На фестивалі хакерів CC9 проведено конкурс, учасникам якого було необхідно обійти систему «Проактивним захисту» сайту і скористатися заздалегідь підготовленими уразливими різних типів. 25000 спроб злому на конкурсі - відмінне стрес-тестування як проактивного захисту з WAF, так і всієї платформи «1С-Бітрікс». Детальніше

Проактивний захист є істотним доповненням до стандартної політиці безпеки продукту. Тому однойменний модуль включений в усі редакції продукту «1С-Бітрікс: Управління сайтом» (крім Старту) і в продукт «1С-Бітрікс: Корпоративний портал». Причому, що важливо, і Проактивний захист, і проактивний фільтр вперше в світі включені безпосередньо в сам продукт!

Захист від DDoS

Компанії «1С-Бітрікс» і Qrator забезпечать безперервність вашого бізнесу!

Унікальне спільну пропозицію для клієнтів «1С-Бітрікс» дозволяє будь-якому сайту з активною комерційною ліцензією отримати захист від DDoS до 10 днів безкоштовно!

Веб-сайт будь-якого масштабу - від невеликого регіонального інтернет-магазину до онлайн-представництва найбільшої Рітейлінговая мережі - завжди повинен бути доступний для відвідувачів. Адже це і джерело замовлень, і канал комунікації з клієнтами, і «обличчя» компанії в Інтернеті, безпосередньо впливає на її імідж.

Одна з причин, за якими ваш сайт може перестати працювати, - DDoS-атака (найчастіше - розподілена атака на ваш сайт за допомогою великого числа «сміттєвих» запитів). Джерела атак і її технічні реалізації можуть бути найрізноманітнішими (цільова атака від конкурентів, автоматична атака від ботнет-мережі, значна кількість HTTP-запитів, SYN-флуд атаки і т.д.)

Навіть атака невеликої інтенсивності зажадає знань грамотного технічного фахівця для її відображення. Справитися ж з більш серйозними атаками неможливо без спеціалізованої захисту.

підключити захист

Проактивний фільтр (Web Application Firewall)

Проактивний фільтр ( WAF - Web Application Firewal ) Забезпечує захист від більшості відомих атак на веб-додатки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтернет-проекту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра засноване на аналізі і фільтрації всіх даних, що надходять від користувачів через змінні і куки.

* Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло і викликати помилкове спрацьовування фільтра.


  • захист від більшості відомих атак на веб-додатки;
  • екранування додатки від найбільш активно використовуваних атак;
  • створення списку сторінок-винятків з фільтрації (по масці);
  • розпізнавання більшості небезпечних загроз;
  • блокування вторгнень на сайт;
  • захисту від можливих помилок безпеки;
  • фіксування спроб атак в журналі;
  • інформування адміністратора про випадки вторгнення;
  • настройка активної реакції - дій системи при спробі вторгнення на сайт:
    • зробити дані безпечними;
    • очистити небезпечні дані;
    • додати IP адреса атакуючого в стоп-лист на ХХ хвилин;
    • занести спробу вторгнення в журнал.
  • поновлення разом з продуктом.

Аудит безпеки PHP-коду

Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» вузькі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатацію вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді і підсилює захист сайту від злому.

Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем). Детальніше про Моніторі якості Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека»

Як працює на практиці тест і який звіт він становить - в блозі Андрія Красичкова

Система перевірки «Монітор якості» також працює в каталозі веб-додатків для сайтів та корпоративних порталів «1С-Бітрікс: Маркетплейс» .

Детальніше якою розраховує поліпшити якість в «1С-Бітрікс: Маркетплейс» Детальніше якою розраховує поліпшити якість в «1С-Бітрікс: Маркетплейс»

Веб-антивірус

Веб-антивірус вбудований безпосередньо в сам продукт - систему управління сайтами Веб-антивірус вбудований безпосередньо в сам продукт - систему управління сайтами. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-додатки на веб-загрози.
«Веб-антивірус» перешкоджає імплантування шкідливого коду безпосередньо в веб-додатки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи. Детальніше

Панель безпеки з рівнями захищеності

Будь-який веб-проект, що працює під управлінням «1С-Бітрікс: Управління сайтом», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного сайту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

Безпечна авторизація без SSL


За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються по алгоритму RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу. Детальніше

  • безпечна аутентифікація з шифруванням пароля дозволяє уникнути передачі пароля у відкритому вигляді без SSL;
  • всі інструменти, які використовувалися раніше для авторизації, продовжать працювати.
SSL-шифрування: як організувати шифрування даних

Журнал вторгнень

У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

одноразові паролі

Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на сайті. Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на сайті Однак особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори».
система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтернет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS ) Або відповідне програмне забезпечення, що реалізує OTP .
Що вам дає така технологія? Однозначну впевненість, що на сайті авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає будь-який сенс, тому що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелка не зможе передати пароль іншій людині, продовжуючи користуватися входом на сайт.

Персональний генератор одноразових паролів для сайту (OTP)

За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для свого облікового запису. Це реалізує OTP програмне забезпечення, розроблене компанією «1С-Бітрікс», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

Встановити Bitrix OTP ви можете безпосередньо з вашого сайту, що працює на «1С-Бітрікс: Управління сайтом» 10.0 і вище. Для цього достатньо перейти в браузері мобільного пристрою за адресою http: // <ваш_сайт> / bitrix / otp / і слідувати інструкціям на екрані. Безкоштовна установка Bitrix OTP також можлива з онлайн-магазину додатків.

Додаток Bitrix OTP для Android

Встановіть додаток від «1С-Бітрікс» на ваш мобільний телефон і генеруйте одноразові паролі для входу на сайт, що підтримує авторизацію по OTP. Додаток підтримує роботу з декількома сайтами одночасно.

Ви можете включити на мобільному сайті підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів. Особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори». Для цього достатньо створити в генераторі паролів новий сайт, який підтримує авторизацію по ОТП, і потім кожен раз, при вході на цей сайт, отримувати для нього одноразовий пароль. Генератор дозволяє створити безліч записів для таких сайтів, і потрібний сайт ви зможете вибрати зі списку. Детальніше

Контроль цілісності файлів

Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічній частині продукту.

Перевірка цілісності скрипта контролю

Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта введіть в форму довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове) слово (відмінне від пароля), і натисніть на кнопку «Встановити новий ключ».

Захист адміністративного розділу

Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється співробітникам адмініструвати сайт. Перед вами простий спеціальний інтерфейс, в якому все це і робиться - задається список або діапазони IP адрес, з яких якраз і дозволяється управління сайтом. Не бійтеся закрити собі доступ в момент установки блокування - цей момент перевіряється системою.
Який ефект від використання даного захисту? Будь-які XSS / CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

захист сесій

Більшість атак на веб-додатки мають на меті отримати дані про авторизованої сесії користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? На додаток до стандартних інструментів захисту сесій, які встановлюються в настройках групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.
Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших сайтів на тому ж сервері, виключивши помилки конфігурації віртуального хостингу, помилки настройки прав доступу в тимчасових каталогах і ряд інших проблем настройки операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

контроль активності

Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору паролів перебором. В налаштуваннях можна встановити максимальну активність користувачів для вашого сайту (наприклад, число запитів в секунду, які може виконати користувач).

Контроль активності користувачів ведеться на основі засобів модуля   Веб-аналітика   і, отже, доступний тільки в тих   редакція продукту   , В які входить цей модуль Контроль активності користувачів ведеться на основі засобів модуля Веб-аналітика і, отже, доступний тільки в тих редакція продукту , В які входить цей модуль.

стоп лист

Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту сайту і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на сайт з IP адресами, включеними в стоп-лист, будуть блоковані.

Дякуємо компанії   InternalSecurity   за допомогу в поліпшенні системи безпеки продуктів «1С-Бітрікс» Дякуємо компанії InternalSecurity за допомогу в поліпшенні системи безпеки продуктів «1С-Бітрікс»

сканер

«Хмарний» сканер безпеки

«Сканер безпеки» - сервіс для моніторингу вразливостей сайтів. Разом з модулем «Проактивний захист» сервіс «Сканер безпеки» дозволяє здійснити повну діагностику загроз безпеки веб-ресурсу і своєчасно запобігти їх.
За допомогою «Сканера безпеки» можна виконати сканування оточення проекту, перевірити настройки, знайти потенційні уразливості в коді, переконатися в правильності налаштувань всіх систем безпеки.

Вперше у світовій практиці для CMS розроблений «хмарний» сервіс, який перевіряє ресурс на наявність зовнішніх і внутрішніх загроз безпеки.

«Сканер безпеки» дозволяє:
  1. Виконувати внутрішнє сканування оточення проекту, наприклад, чи безпечно зберігаються сесії.
  2. Виконувати перевірку налаштувань сайту, наприклад, чи включений WAF, чи встановлений пароль до БД і т. Д.
  3. Виконувати пошук потенційних вразливостей в коді проекту за допомогою статичного аналізу .
  4. Запускати зовнішню сканування.

«Сканер безпеки» стежить за безпекою проекту


Складові безпеки веб-додатки:
  • Власний професіоналізм розробника;
  • Web Application Firewall;
  • Статичний аналіз коду;
  • Сторонній аналіз безпеки веб-додатки;
  • Безперервна робота команди «1С-Бітрікс» щодо забезпечення безпеки API і компонентів системи.
Безпека будь-якого проекту дорівнює безпеки найслабшої ланки

Як працює «Сканер безпеки»


Досить в адміністративній частині сайту увійти в «Сканер безпеки» і натиснути кнопку «Запустити сканування», після чого дочекатися результатів і вжити заходів щодо усунення виявлених вразливостей.
«Сканер безпеки» пропонує виконати сканування, якщо ви не робили цього цілий місяць.

Сканер дуже швидко, за секунди виконується сканування.

Після завершення сканування ви бачите його результати.

Ви переглядаєте результати сканування і виправляєте критичні проблеми.

Детальніше про роботу Сканера безпеки - в блозі Андрія Красичкова

аудит

незалежний аудит

Компанія «1С-Бітрікс» приділяє важливе значення питань безпеки в програмному продукті і безпечної розробки веб-додатків. Додатково для забезпечення нового рівня захищеності і надання більшої впевненості для клієнтів був проведений незалежний аудит інформаційної безпеки. Для виконання аудиту інформаційної безпеки було вирішено залучити найбільш відому в Росії компанію в області веб-безпеки - Positive Technologies.

Positive Technologies - одна з провідних російських компаній в області інформаційної безпеки. Основні напрямки діяльності компанії - розробка систем комплексного моніторингу інформаційної безпеки (XSpider, MaxPatrol); надання консалтингових та сервісних послуг в області інформаційної безпеки; розвиток спеціалізованого порталу Securitylab.ru.

Positive Technologies - це команда висококваліфікованих розробників, консультантів та експертів, які мають великий практичний досвід, є членами міжнародних організацій і активно беруть участь в розвитку галузі.

Компанія Positive Technologiesпровела повномасштабне тестування самої повної версії програмного продукту «1С-Бітрікс: Управління сайтом», маючи в своєму розпорядженні вихідними текстами продукту і консультаційною підтримкою технічних фахівців компанії «Бітрікс».

Компанія Positive Technologiesпровела повномасштабне тестування самої повної версії програмного продукту «1С-Бітрікс: Управління сайтом», маючи в своєму розпорядженні вихідними текстами продукту і консультаційною підтримкою технічних фахівців компанії «Бітрікс»

Компанія Positive Technologies здійснила аудит ефективності нових функцій безпеки «1С-Бітрікс: Управління сайтом 8». Тестування вбудованих механізмів захисту продукту підтвердило їх відповідність вимогам Web Application Firewall Evaluation Criteria міжнародної організації Web Application Security Consortium , Про що свідчить виданий сертифікат. Якість реалізації захисних механізмів «1С-Бітрікс: Управління сайтом 8» дозволяє користувачеві системи бути впевненим не тільки в надійності ядра системи, а й в безпеці рішення на його основі, з урахуванням надбудов і доопрацювань, виконаних партнерами компанії.
Як зазначив Юрій Максимов, генеральний директор компанії Positive Technologies: «Досвід аналізу безпеки Web-додатків показує, що, незважаючи на постійні заяви про актуальність цієї теми, захист більшості серйозних веб-проектів здійснюється за залишковим принципом. Тим корисніше для замовника веб-додатки наявність високоефективної вбудованої функції проактивного захисту, що дозволяє запобігти наслідкам можливих помилок, допущених при розробці і експлуатації порталу, а також своєчасно виявити атаки ».

Детальніше

важліво

Веб-сайт є частиною корпоративної інфраструктури і не дивно, що компанії велику увагу приділяють питанням безпеки.

За даними компанії Positive Technologies : Частка атак на Веб становить понад 50%; щодня в Рунеті реєструються десятки зломів веб-сайтів.


Але чи означає це, що сайти краще не робити? Сучасний прогрес і конкурентне середовище не залишають вибору. Сайти будуть створювати, будуть робити більше і все більш функціональними. Як захистити компанію від потенційних неприємностей? Яке рішення вибрати і як захистити свій веб-сайт від можливих проблем? Давайте обговоримо.
Допоможе в цьому правильний вибір системи управління контентом сайту (CMS), надійного хостингу, серверного програмного забезпечення і своєчасне проведення заходів, спрямованих на зниження ймовірності виникнення проблемних ситуацій на веб-проектах.

Безпека «1С-Бітрікс: Управління сайтом»

При проектуванні програмного продукту «1С-Бітрікс: Управління сайтом» питань безпеки продукту приділялася особлива значення на всіх етапах розробки і тестування.

Коли сайт - це імідж і репутація

Злом корпоративного сайту

- це удар по репутації та іміджу компанії. Дуже неприємне в таких подіях - розголос події. Але втрата даних з сайту, інформації про клієнтів - це вже прямі збитки. І розголос таких пригод відбувається далеко не завжди. Чим серйозніше компанія і відомішим її ім'я і продукти, тим істотніше бувають ризики і збитки від злому корпоративного сайту.

Забезпечення інформаційної безпеки веб-систем - процес складний і копіткий, в якому беруть участь різні постачальники послуг і програмних продуктів. З великою впевненістю можна стверджувати, що не можна створити безпечну систему і припинити роботу по забезпеченню інформаційної безпеки. Створюючи систему, ви повинні безперервно стежити за безпекою інформаційного середовища і за безпекою веб-додатків.

Використання продукту «1С-Бітрікс: Управління сайтом», який отримав сертифікат «Безпечне веб-додаток» від компанії Positive Technologies, яка проводила аудит інформаційної безпеки системи, дозволяє з упевненістю стверджувати, що сучасні корпоративні сайти можуть бути надійно захищені.

В якості незалежних експертів для підготовки матеріалів даного розділу залучені фахівці компанії Positive Technologies.

Уразливості веб-додатків

Існує цілий клас вразливостей, до яких схильні веб-додатки. Але дуже часто проблеми інформаційної безпеки залишаються за рамками бюджету або взагалі не фігурують в етапах розробки.

цікавий матеріал на цю тему опубліковано Олексієм Лукацький, керівником відділу Інтернет-рішень компанії «Інформзахист» (в даний час менеджер з розвитку бізнесу Cisco Systems) в журналі BYTE Росія:

«Автор пройшовся по Web-сайтів деяких, в тому числі і іменитих студій, що пропонують свої (недешеві, зауважимо) послуги зі створення сайтів, і що ж? Жодна з них не згадала в своїх "портфоліо" поняття "захищений сайт". І в типових договорах немає ні слова про захист ...

Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ? На жаль, доводиться визнати, що швидше за все перше. Спробую проілюструвати цю тезу, спираючись на особистий досвід участі в ряді Інтернет-проектів ... »

Повний текст статті опублікований в розділі «Захищений сайт» .

Перерахуємо деякі з найбільш часто зустрічаються проблем:

  • Cross Site Scripting
  • SQL- injection
  • PHP- injection
  • HTTP Response Splitting
  • HTML code injection
  • File Inclusion
  • Directory traversal і деякі інші.

Перераховані типи вразливостей можуть зустрічатися у всіх веб-додатках, незалежно від того, розроблені вони одним фахівцем або відомою компанією. Тільки системне проектування, продумування питань безпеки на всіх етапах розробки і детальне тестування готового додатка можуть дозволити виключити появи вразливостей.

Детальніше

Інформація для розробників

Для забезпечення більш високого рівня безпеки ваших інтернет-проектів необхідно комплексно підійти до питання безпеки інформаційного середовища і веб-додатків.

Використовуючи для роботи веб-проекту тільки «1С-Бітрікс: Управління сайтом», ви можете мінімізувати загрози, пов'язані з веб-додатками. Користуючись технологією SiteUpdate , Ви будете завжди мати у своєму розпорядженні самою останньою версією продукту. Зусилля, які вживає компанія «Бітрікс» для забезпечення високого рівня безпеки в поєднанні з незалежним аудитом і безперервним моніторингом з боку компанії Positive Technologies дозволяють бути впевненими в високому рівні захищеності сайту в цілому.

При розробці сайтів дотримуйтесь елементарних правил обережності При розробці сайтів дотримуйтесь елементарних правил обережності. Не можна довіряти всім відвідувачам сайту і сподіватися на те, що будь-яка введена ними інформація не приведе до руйнівних дій. Ці правила не так важко запам'ятати, але без них ви ставите під загрозу безпеку вашого сайту.

1. Використовуйте функцію htmlspecialchars. Будь висновок на сайті з бази даних, HTML-форми або інших джерел повинен бути попередньо наведено в безпечний, з точки зору HTML, вид за допомогою функції htmlspecialchars. У розробника повинно стати звичкою використання цієї функції. Ні в якому разі не можна писати "echo $ _GET [ 'id'];", всюди пишіть "echo htmlspecialchars ($ _ GET [ 'id']);", де б цей висновок не знаходився: в заголовку, теле сторінки або атрибуті тега

2. Використовуйте метод $ DB-> ForSQL в запитах до БД. При звичайній розробці веб-проекту на основі продукту "1С-Бітрікс: Управління сайтом" вам не доведеться писати прямі запити до бази даних, тому що API функції зроблять це за вас, але якщо ви розробляєте свій модуль або хочете вибрати дані з власних таблиць, то всі параметри, що входять в запит, необхідно обгорнути методом CDatabase :: ForSQL. В іншому випадку ви ризикуєте бути атаковані методом SQL ін'єкція.

3. Будь-який доступ до файлів повинен бути контрольованим. Найчастіше розробники використовують метод динамічного підключення скриптів, ім'я якого передається параметром в URL (наприклад, require ($ _ REQUEST [ 'act'])). У цьому випадку обов'язково потрібно скласти список допустимих імен скриптів і підключати необхідний файл тільки після попередньої перевірки його імені. В іншому випадку зловмисник зможе виконати довільний скрипт або вивести вміст файлу з секретною інформацією. Також один з можливих сценаріїв, що представляє загрозу безпеці, це скрипт, що виводить вміст деякого файлу. В обох випадках слід пам'ятати, що шлях до файлу може складатися з символів зворотного шляху (значок дві точки, наприклад ". ./Secret.txt"). Файлова система коректно обробить такий шлях до файлу і ви, самі того не уявляючи, можете дати доступ до файлу, що знаходиться далеко від тієї папки, до якої ви планували дати доступ користувачеві. Важливо не забувати про символ зворотного слеша "\", так як такий символ є аналогом прямого слеша "/" в деяких ОС. Перед обробкою шляху до файлу скористайтеся функцією продукту Rel2Abs, яка призведе шлях в абсолютний вид і дозволить уникнути подальших неприємностей з його використанням.

4. Перевіряйте все, що відвідувач завантажує до вас на сайт. Одна з типових помилок, при обробці завантаження файлів на сервер - це недостатня перевірка або взагалі відсутність перевірки розширень імен файлів, що завантажуються. Важливо пам'ятати, що потенційно небезпечні файли не тільки з розширенням .php, а й .pl і навіть .asp файли, тому що сайт може перебувати на веб-сервері IIS, який виконує такі файли. Використовуючи таку вразливість, зловмисник може під виглядом аватара на форумі завантажити шкідливий код і виконати його. Тому єдино правильний варіант це скласти список допустимих розширень імен файлів (наприклад: jpg, gif, png) і дозволяти завантажувати тільки їх. У продукті для безпечного завантаження файлів і їх перевірки розроблений ряд функцій, наприклад, CFile :: CheckFile.

5. Не зберігайте та не передавайте в URL потенційно небезпечні дані. Ні в якому разі не можна зберігати в cookie або передавати в URL секретну інформацію, особливо у відкритому (незашифрованому вигляді). Пам'ятайте, що ці дані можуть бути доступні з javascript або в лог-файлах проксі або веб-серверів. Розміщуючи сторонній лічильник або банер, ви ризикуєте, що ці дані стануть доступніші зловмисникові. Тому вся закрита інформація повинна передаватися в POST запитах, при можливості з використанням HTTPS протоколу, і зберігатися в зашифрованому вигляді.

6. Уникайте потенційних місць для DOS атаки. Будь-обчислювальний процес, будь це запит до бази даних або складний алгоритм шифрування, є потенційно схильним DOS атаки. Тому максимально використовуйте технологію кешування або спеціальний захист від таких атак. У продукті "1С-Бітрікс: Управління сайтом" для цього є всі необхідні інструменти: по-перше, це автоблокування агресивного клієнта, реалізована в модулі статистики - механізм, який блокує клієнтів, які виконали максимально допустимих запитів за деякий час, по-друге, це механізм кешування для частоіспользуемих і ресурсномістких ділянок коду.

Всі вищенаведені правила повинні застосовуватися не тільки до параметрів, що надходять в GET або POST запитах, але також до будь-якої іншої інформації, що надходить з комп'ютера клієнта, наприклад cookies або іншим параметрам HTTP запиту. Не варто сподіватися на такі змінні як HTTP_USER_AGENT, який вказує браузер відвідувача або HTTP_X_FORWARDED_FOR, який вказує реальний IP адреса відвідувача, який зайшов через проксі-сервер, - пам'ятаєте, вся ця інформація передається в заголовку HTTP запиту і запросто може бути підроблена зловмисником.

Важливо пам'ятати, що сайт - це ваше обличчя в Інтернеті, яке побачать мільйони відвідувачів з усього світу, і його безпеку і невразливість - це не просто запобіжні заходи, це ознака вашого професіоналізму та надійності.

Безпека інформаційного середовища

Забезпечення безпеки інформаційного середовища - завдання складне і відповідальна.

Ви можете доручити завдання забезпечення безпеки Інформаційної середовища надійному дата-центру або хостинг-провайдеру. У штаті великих компаній зазвичай існує посада офіцера безпеки, який відповідає за незалежний моніторинг та забезпечення комплексу заходів безпеки і захисту.

Ми маємо в своєму розпорядженні достовірної інформацією щодо рівня забезпечення безпеки Інформаційної середовища в компанії DATAFORT і можемо рекомендувати розміщення виділених веб-серверів, що вимагають високого рівня безпеки в даній компанії.





До уваги хостинг провайдерів

Ми будемо раді розмістити інформацію про вашу компанію на сайті в розділі «Безпека» . Надішліть нам запит на адресу [email protected] і інформацію про вашу інформаційній інфраструктурі, використовуваних вами автоматизованих і ручних засобах моніторингу та забезпечення безпеки.



Що вам дає така технологія?
Який ефект від використання даного захисту?
Які інструменти використовує цей захисний механізм?
Але чи означає це, що сайти краще не робити?
Як захистити компанію від потенційних неприємностей?
Яке рішення вибрати і як захистити свій веб-сайт від можливих проблем?
Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ?

Новости