Как ломать сайты на «1С-Битрикс»

[Panov_Alexey]

Как минимум не помешало бы упоминание о том, что подобные действия могут попасть под действие УК, а информация в статье представлена с целью упрощения поиска ошибок и багов в собственных проектах с целью их устранения.

[Metotron0]

По сути, тут про битрикс ничего и нет, это подойдёт к любому самопису.

[TigerClaw]

А причем тут битрикс, это проблема любых сайтов с кривым кодом. Битрикс как раз таки дает механизмы обезопаситься и обработать входные данные. И кстати в битриксе есть механизм тестирования пользовательских скриптов на уязвимость. В общем статья ни о чем.
При этом во многих случаях никакой точки входа через скрипты просто нет.

[numb]

1. Развернуть какой-то продукт.

2. Добавить в него кривой код, который позволяет запускать себя в обход всех механизмов безопасности основного продукта.

3. Кричать что продукт дырявый

Ну такое себе..

Статья ради хайпа на имени продукта.

[Metotron0]

Но зато у автора теперь есть статья, ему можно повышать карму. У меня нет статей, потому что я не хочу писать что-то настолько же очевидное, а ничего прорывного я не знаю, поэтому мне карму повышать нельзя :)

[xtended]

Поддерживаю. Не считаю, что у меня есть какие-то знания, которые прям уникальные и которыми надо поделиться. Так что посижу рядом с вами)

[Metotron0]

Давайте напишем свой аналог хабра и поделимся коллективной статьёй об этом бесполезном занятии :)

[tgur]

Ну, строго говоря, автор нигде не ругает Битрикс. Это вообще больше похоже на социальную рекламу типа «не добавляйте в Битрикс свой говнокод»

[insideme]

стилистика написания напомнила журнал "хакер", лет так 20ть назад. Даня, ты где?))

[Metotron0]

Даня в Телеграме свой канал ведёт. Про гусей.

[xiaoAntares]

Как тестировщик работающий на битриксе могу сказать что статья не то чтобы прям бесполезная, таких уязвимостей действительно полно и они активно эксплуатируются всеми кому не лень, но вот сама статья немного не соответствует заголовку. Здесь описан лишь XSS сайтов на битриксе, ровно таких же XSS, как заметили другие комментаторы, полно на любом другом сайте не относящихся к битриксу вообще. Ожидал все же увидеть непосредственно уязвимости и слабые места самого битрикса.

[Elborak]

Если говорить про битрикс, как-то была задача отключить окно блокировки из-за просроченной демо-версии. Нужно было сделать на время, для того что-бы удобно было переносить визуал сайта. Оказалось вообще ничего сложного. А так, в 2022-23 годах сайты на битрикс хлебнули горя, взломов со стороны "западных друзей", с постановкой на главный экран баннера с флагом одной страны, было множество.

[nikonHash]

Вся статья выглядит как что-то из журнала «Хакер» из начала 2000х

[netruxa]

И ни слова ни про уязвимость в модуле голосования, в визуальном редакторе, в модуле landing - вот это реальные проблемы, а не самописные аякс скрипты

Вот тут https://dev.1c-bitrix.ru/community/forums/forum6/topic147346/ уже 30+ страниц о том, сколько взламывают Битрикс последнее время