Как стать автором
Обновить

Комментарии 115

Хм, а какой там дефолтный пароль админа? :)

PS. Все школьники античата уже брутят пароли)
Из дефолтного там только ID. У админа он равен единичке. А логин с паролем задаются во время установки битрикса.
1111 и 1234 естественно
Для админа В битрикс жесткая политика безопасности.
пароль должен быть не менее 8ми символов
должен содержать латинские буквы в Разном регисте, цыфры и доп. символы.
Достаточно девечьей фамилии матери
Кузькиной?
сомневаюсь что в админке битрикса что то ценное хранится…
А вот огрести проблем от службы безопасности банка за попытку подбора пароля более чем реально.
Да и вообще что особенного в сайте банка? Приведите пример? ну взломали сайт моего банка.дефейснули… мне то какое дело?
У такой организации как ЦБ (Центробанк) есть четкие требования к сайтам банков и информационным системам банков РФ.
И в случае дефейса или размещения некоректной информации меры принимаются начиная от штрафа в размере процента от оборота (представьте оборот БТА, Дельты или Юниаструма) вплоть до лишения лицензии.
Вроде были рекомендации, а не требования. Есть инфа именно по требованиям?
НЛО прилетело и опубликовало эту надпись здесь
залезли злые хакеры в админку и поменяли например ссылку на интернет-банк
и пользователи полезли по левой ссылке по фишинг сайт сливать логины и пароли
или ссылочку на проплату чего-то с карточки поменять, или имейл куда отправляется конфиденциальные форму…

В общем для пытливого разума богатый фронт работы
вау! а откуда у вас в голове такие сценарии?
ну так голова она для того и нужна, чтобы думать :)
в том числе и о возможных негативных последствиях чьего-то разгильдяйства
А то тут камрад NikitaG пишет, что ну дифейснули и пофиг.
не вы не поняли.Я к тому что профит не велик, палева дофига, и поэтму нахер не нужно никому.
Знаете почему кот яйца лижет? Потому что может.
Блин, прикольное выражение =)
А вы чьи яйца в виду имеете*?
Если ваши то это как бе намекает
Если яйца кота, то например ваш кот может их и себе ОТКУСИТЬ… Но этого то он не делает?
Или вы коту своему намордник купите чтобы яйца себе не откусил??=)

знаете, если бы я был злым хакером, я бы и одноразовый ноут для такого дела не пожалел, и через сеть левую законнектился (вайфай в другом городе\стране и т.д.)
да на крайняк конкуренты покрышуют.
так что оставлять дыры в безопасности ссылаясь на «авось не заметят» — это, извините, кретинизм
Да шоб вас всех…
панель ввода пароля в битриксе это дыра??????
Ну тогда надо ссылку на интерснет-банкинг надо убрать…
https://cabinet.rshb.ru/init/index.do
у вашего самого безопасного банка.
В чем разница???
да, но Вы ведь не с этим спорите:

не вы не поняли.Я к тому что профит не велик, палева дофига, и поэтму нахер не нужно никому.
Возможно в том, что в то время как системы интернет-банкинга могут быть самописными => неисследованными изнутри, bitrix вполне себе известное приложение, с большим вниманием к нему IT сообщества, в том числе и деструктивного.
и как это влияет на безопасность с точки зрения брута пароля через форму ввода логина?
тут не столько речь о бруте пароля, сколько о доступности папки с bitrix'ом вообще и знании слабых мест в этой системе в частности (в том же способе аутентификации запросто могут найтись дыры и перебор паролей просто не понадобится).
Ну типо укажите известную уязвимость такого рода.
Ребят то ли я параноик и недекват то ли этот просто это тупо заказуха от битрикс — с понтом что вон мы какие крутые встроили механизмы защиты, а банки не пользуются ими… Ну и плюс конечно пиар с точке зрения количества банков которые юзают битрикс в принципе.
Во всяком случае несмотря на то, что я прсто выражал свое мнение, камрады опустили мою карму ниже плинтуса.
Я думал и продолжаю думать, что все это ерунда.И незакрытие директорий с формой авторизации не является дырой.
Про пиар — пальцем в небо, системы типа bitrix — это не те вещи, которые покупаются/внедряются на основании сформированного общественного мнения.

Про уязвимости — а они есть. Вот, читайте все три пункта, особенно первый:

Ввод, передающийся в параметрах административной секции не проверяется перед использованием. Нападающий может выполнить произвольные скрипты в контексте уязвимого сайта. Для эксплуатации требуется доступ к административной секцииНе уверен, что речь идет именно о секции с логином, но ведь не зря же сами работники bitrix'а предусмотрели возможность закрытия доступа к страницам авторизации. Да и потом, это только капля в море, не надо зацикливаться только на странице авторизации, смотрите шире на нее и способы ее использования в атаке на сайт.
Так же можете погуглить сами, это только одна ссылка.

За нежелание пользоваться гуглом и непререкаемую веру в свои слова даже после стольких минусов — пройдусь-ка, пожалуй, по вам и я.
Да ради бога пройдитесь…
Ссылка ведет на пост 2006 года и на уязвиость в версии продукта Bitrix Site Manager 4.x
Сейчас актуальная 8,5.
Не несите ерунды.
Известных или даже потенциальных уязвимостей в ней нету.

Вы специалист в этой области? Даже если специалист — возьметесь ли вы утверждать что новая версия достаточно хорошо исследована на предмет уязвивомостей? Вряд ли, именно потому что она новая.
Вы считаете что стоит сейчас рассматривать эту систему, забывая о том что она в первую очередь веб-приложение? В статье 2006 года все верно сказано и на данный момент — система обладает всеми недостатками веб-приложений.
Собственно, тут даже говорить не о чем — информацию о точке входа в административную консоль нельзя переоценить. Приложить к этому знания мыла администратора — и уже есть неплохие шансы на взлом. Да и мало ли еще вариантов можно придумать даже без использования уязвимостей самой системы. Повторю еще раз — обратите внимание на количество минусов — они редко бывают не по существу на Хабре, в случае технических вопросов — практически никогда.
>За нежелание пользоваться гуглом и непререкаемую веру в свои слова даже после стольких минусов — пройдусь-ка, пожалуй, по вам и я.

я, знаете ли, как бы не склонен менять свое мнение под воздействием минусов…
Оно у меня формируется на основании опыта, знаний и элементарного здравого смысла.Если у вас к минусам другое отношение — ваше личное дело…

А что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре.

>Оно у меня формируется на основании опыта, знаний и элементарного здравого смысла

Весьма умным будет решение принять тот факт что любой (в том числе и ваш) опыт бывает ошибочен.
А так как разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.

>что касается темы беседы — то незакрытие этой пресловутой страница на безопасность моего счета в банке не влияет никак.Это максимум помарка.О таких вещах просто шлют письмо админу, а не трубят на хабре

забавно видеть как вы упираетесь до последнего и отказываетесь принять здравую мысль:
В банке любая дополнительная безопасность не будет лишней. Особенно — когда надежда возлагается на систему безопасности сторонней системы. Любой шанс должен быть по возможности исключен.
Если вы этого не понимаете — вы просто упертый дурак, которого по достоинству оценили, этот вывод так же логичен, как абзац выше. Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество, и минусики/плюсики ставятся не за красивые глаза.
Да срать мне и большенству хабровчан на плюсики и минусики.
>первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений

Да вы просто быдло получется=)
>Да срать мне и большенству хабровчан на плюсики и минусики
>Да вы просто быдло получется

>разговор идет исключительно о техническом опыте — первоначальным в оценке правильности собственных выводов должен быть фактор именно количества совпадающих с вашим мнений, а не [irony]уникальные[/irony] личные наблюдения, знания и тп. Это логика.
>Не забывайте, что у нас тут не соц. сеть, а тематическое сообщество
>ну так голова она для того и нужна, чтобы думать :)

А для того чтобы в нее есть она че, не нужна?
А это смотря где у Вас голова. Держите крестик.
Из небезизвестного журнальчика Phrack и конференции alt2600 как минимум. А что?
ну знаешь анекдот «Доктор. А откуда у вас такие картинки?»
Ага :) Понял Вас.
Он просто русский человек…
А еще просто повесить дефейс на главную сайта и сыграть на бирже. Плохо разбираюсь, но наверное должен быть скачок (вниз/вверх) стоимости акций?
среди описанных сайтов никто не торгуется на бирже
У россельхозбанка есть облигации например.
+1
Чувствую ваш пост вызвал громкое «МАТЬ ВАШУ...» в офисе битрикса.
Рекомендации «Битрикса» я привел в самом конце статьи со ссылкой.
К сожалению, специфика работы банка такова, что это самое «МАТЬ ВАШУ» сначала кто-то изложит на бумаге, в виде письменного обращения вебмастеру, потом вебмастер в виде письма в службу безопасности, для согласования, те, в свою очередь к руководству на согласование… в итоге МАТЬ ВАШУ там будет разноситься как минимум неделю, а то что закроют — это вообще не факт.
НЛО прилетело и опубликовало эту надпись здесь
думаю, в офисах вышеуказанных банков громче будет
типа «Наш сайт на БИТРИКСЕ????»
«кто у нас админит сайт????»
НЛО прилетело и опубликовало эту надпись здесь
Долго пытался понять, как читать «40-ку»…
сороковка? :D
Благодарю. Лучшим из того, что я придумал, была «сорокашка» =)
40-ет расшифруете? :)
:) Сорокет конечно же ))
НЛО прилетело и опубликовало эту надпись здесь
Вы так говорите, будто там нигде нет паролей. Это я про «Какому из банков стоит доверят свои деньги»
Доступ есть не дальше ввода пароля, это, конечно, не очень хорошо, но и не даёт повода сомневаться в безопасности сбережений, которые никак к закрытой админке сайта (фактически, новостная лента и всё) не относятся.
многие решения на bitrix для банков имеют открытый доступ к панели администрирования
Я долго пыжился придумывая, что бы написать под этой цитатой, но думаю, вы и так все поняли.
двусмысленно как то звучит. Спасибо, комрад. Поправил.
Какие-то банки неизвестные (ну или мало известные))
Дельтакредит, вроде, лидер по ипотечному кредитованию.
Возможно. Я с банками особо дела не имею
Я на сайте одного из банков возможность для SQL Injection случайно обнаружил. Вставил случайно кавычку в поле формы, где ее не должно было быть и вуаля. Это было год назад, не стал никуда сообщать, просто постарался не иметь больше дел с этим банком.
НЛО прилетело и опубликовало эту надпись здесь
Тут только на PHP версию проверяли. Может найдутся и с ASP.Net версией?
Вопрос к автору, чем это опасно?
PS. Спрашиваю потому, что разрабатываю проект на битрикс, и не делал никаких ограничений.
Возможность брута.
А нет доступа — нет и брута.
Да и не полагается всем показывать доступ в админку.
AFAIK, у битрикса там какие-то антибрутские фишки в связи с «провокативной заshitой» :)
защита, которая провоцирует саму себя на взлом?
Защита, упоминание деталей которой провоцирует лютые холиворы и продлевает жизнь читателям обзоров :)
ssh брутят успешно, хоть и с таймаутом и блокированием. Просто много машин брутят. Можно перевесить админку в другое место и спать спокойно
ну на то она и провокативная защита-то
У меня было два варианта, первый это брут, второе это повышения безопасности в случае, если вдруг снифером, трояном, или иными методами взломщику удастся заполучить пароль админа.
Причем что же тогда мешает напрямую брутить пароль админа через форму авторизации для обычных пользователей. Молчу уже о ftp и ssh.
Я к тому веду, что сложно это назвать уязвимостью.
Где вы нашли список этих говнобанков из нижней части топа...?
altima высказал выше самые страшные сценарии.

А для банка в случае некорректной информации на сайте действуют штрафные меры со стороны ЦБ.
а я "../bitrix/admin/index.php" люблю подменять липовой страничкой. И пусть ламают и брутят до уср… :), когда любой запрос выдает — введены неверные данные и таймаут прикрутить на ввод (5 сек с головой хватает).
А доклад Товарищу Майору???
)))
«узнаю брата Колю»(ц)
наши сисадмины тоже так «шутили» и заодно собирали IP тех, особенно усердных. ну а товарищ майор уже сам разбирлся
В случае с банком получается, что и обычные пользователи будут ломи… а, ну да, это же только для админа.
Внедряет не Битрикс, а партнёры по опасному бизнесу. Придется Б. пересмотреть свое отношение на их безоглядную сертификацию.
А Глобэкс разве жив еще? Вроде он первый в кризис оприветился, нет?
admin:123456

уже пробовали?
Админы Траста и Россельхозбанка должны получить премию (:
Don't panic!
В админку без пароля не попадешь. А разрешать доступ только по IP не всегда хорошо. IP может быть динамическим.
НЛО прилетело и опубликовало эту надпись здесь
Гы… Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.
Наверняка, не только один админ сайта, но и руководство и всякие службы безопасно, да и еще кто угодно…
> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.

Может в нижневонюкинском банке «Рабпромхимфаршмашсбыт» никто и не знает, а в нормальных банках знают :)
А вы знаете?
В любом банке знают, кто, что и куда!
Но вот когда люди, мягко говоря, далекие от данного банка начинают паниковать данными топиками, и разрушать репутацию компании — это, мягко говоря, не есть хорошо.
вы представитель одного из вышеуказанных банков?
Нет, просто знаю, как работает система.
Я — не знаю. Мне не положено это знать, я не сотрудник банка.

> В любом банке знают, кто, что и куда!

Так зачем тогда:

> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.

Противоречие же.
> Кто знает, сколько людей должны иметь доступ к управлению сайтом и в каких городах они расположены.

Относилось к людям отметившимся в данном топике страха. :)
Никто из них точно не знает, что и как быть должно. И уж тем более в конкретной ситуации.
Для этих целей есть VPN.
ip динамический, но никто VPN не отменял, разрешать доступ нужно только с внутренних ip
Эт счас, правильно я понимаю — была реклама Битрикса?
Это была антиреклама банков :)
Вот вы америку открыли, как будто это грозит крахом всей банковской системе, не иначе. Если бы пароли были брутабельными, то уже давно бы всё подобрали.
Спасибо автору за статью!

Очень и очень важно обращать внимание клиентов на наличие рисков, связанных с информационной безопасностью!
Действительно, даже при наличии всех возможностей в продукте по защите проектов, клиенты далеко не всегда выставляют даже рекомендованный уровень безопасности.

Сегодня необычайно много угроз из веба приходит. Особенно массовыми стали бот сети и всякого года шпионский софт.
Пароли доступа к админкам сайтов являются одной из целей перехвата, чтобы взят контроль над сайтом, заразить сайты и получить новые единицы в бот-сети.

Буквально на днях у нас была рабочая встреча с сотрудниками из органов, на которой мы можно сказать обменивались опытом. :)
Нам демонстрировали админки и возможности бот-сетей, перехват обычных паролей ботами и последующее заражение сайтов, журналы, обсуждения…
А мы показывали одноразовые пароли (OTP), Проактивную защиту и нашу систему защиты.
Я, в общем, все это уже знал, но когда видишь реальные диалоги людей, потери компаний от такого вторжения, убытки частных и юридических лиц… как-то становится беспокойно и особенно за клиентов, с их хроническим невниманием к безопасности.

С другой стороны, мы сегодня знаем, что наши усилия по безопасности были услышаны многими клиентами.
Так как панель безопасности в Проактивной защите стала простой и мы вынесли ее на главную страницу админки, очень многие включили основные инструменты защиты.
Но вот с защитой по IP обычно тянут, неудобно людям ходить только в своей сети.
А это ведь очень повышает уровень защищенности, так как теряют обычно доступ к сайтам не с рабочих компов, а с домашних станций, на которых работают дети и… их родители.

Побольше таких статей. Пусть включают фичи продукта и защищаются.

А заголовок забавный :) «Вы несете деньги в Банк, Банки несут деньги в Bitrix»
Надо пойти проверить, может все действительно так обстоит. :)
> Сегодня необычайно много угроз из веба приходит. Особенно массовыми стали бот сети и всякого года шпионский софт.

«Сегодня»… Только что из анабиоза? Добрый вечер, у нас уже 2009-й год, человек летал в космос и на Луну, компьютеры считают быстрее людей, а автомобили колесят быстрей лошадей. Вам у нас понравится.
… и поменьше Битриксов всяких.
Общеизвестно, что админку необходимо дежрать отдельно от общедоступной части сайта.
Почему она сейчас доступна с этого же домена, почему при инсталляции не предлагается установить ее в другое место? (или я ошибаюсь, и это уже сделали?)
В идеале админка должна быть вообще установлена только с возможностью входа изнутри сети банка, предприятия, и и т.д.
Если кому очень уж надо в админку заходить извне через интернет, тому админы могут и VPN сделать.

Далее, почему по умолчанию не ставится https для админки? (судя по скришнотам выше)
В идеале — отстановить инсталляцию, если нет возможности изпользовать https.
Потом, все установив, пусть админ сам отключает https на свой страх и риск, если головы нет (админка при этом должна очень ругаться, так как нарушается безопасность!), но по умолчанию система должна быть максимально защищена.

Но все равно, даже несмотря на вышесказанное, я рад, что наши люди на Родине способны делать неплохие продукты, молодцы. Со временем данный проект действительно становится все лучше и лучше. Но работы еще ой-ой сколько…
Эммм, ну Йота тоже меня как-то под неким юзером pavel пустила в битрикс.
Странная у вас Йота, кукисы вам даже отправляет.
в тот момент я зашел на сайт Йоты не через ихний модем.
Но вообще, шикарная PR-двухходовка: сначала пост про банки и безопасность — куча народу реагирует, постит, читает, делится ссылками. Через некоторое время приходит Рыжик и постит развернутый «как бы ответ» с рекламой :)

Браво. Действительно, круто.
Я старался.
А если серьезно, цель была показать, что есть сферы бизнеса, в которых необходим здоровый консерватизм и трезвое отношение к правилам безопасности. И Битрикс тут ни при чем.
Я на 100% уверен, что управлять сайтом банка должен специалист изнутри инфраструктуры, в разрешенном диапазоне ip. Остальные в лес.

При этом у меня есть совершенно противоположное мнение про системы интернет-банкинга. Здесь все должно быть прозрачно и защищаться парой логин-пароль + каким нибудь переменным кодом, который можно таскать с собой, а не запрашивать через смс. Либо быть основанным на случайно заданном вопросе, на который вы и только вы знаете ответ.
Если эти три вещи соблюдаются — остальное неважно.
На деле во многих банках закрыты транзакции через интернет (для BSGV — необходим звонок), а это сложно реализовать находясь в поезде за границей. Работать в интернет-банке Альфы не получится, потому что Альфа не высылает сгенерированный код по смс, когда вы в международном роуминге.
Получается ситуация — сиди в пределах РФ и не рыпайся. И все это преподносится как забота о пользователе и борьба с киберпреступностью.

Этим постом хочется ткнуть некоторые банки, которые прикрываются заботой о безопасности в интернет и не дают нам нормально юзать PayPal, при этом не удосуживаются прочесть мануал по защите битрикса или хотя бы усилить защиту на уровне сервера.
Вот про PayPal вы точно подметили! Смысл вооще не понимаю, почему нам не дают с ним работать в обе стороны!
нужно поставить напоменалку, проверить эти сайты через недельку. И посмотрим, изменилось ли что :)
В одном банке, где я в свое время работал, доступ к админке был разрешен не просто только с банковских адресов, а еще и только при наличии клиентского сертификата. Таким образом, доступ был только у двух-трех сотрудников банка.
Как обычно — компьютер в руках туземцев — груда металлолома. Кривые руки и российское разгильдяйство
дык. самое обидное, что не туземцы. Битрикс поставить сумели.
я подозреваю, что сами админы битриксе нибумбум, она отслюнявили денежку за настройку в том числе и установку
> Теперь банки, которые закрыли доступ.

а баба Яга против!

нужно не 403 ставить, а 404 + логирование + алярмы + блокирование с таймаутом
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории