Как стать автором
Обновить
13
0
Алексей Резников @inSafety

Информационная безопасность

Отправить сообщение
Никто не говорит про платформу Битрикс, как о источнике угрозы.
Выше, в комментариях я написал, что явилось (как один из вариантов) причиной появления систематики этой угрозы безопасности.
Если говорить о вышеописанной проблеме, то есть больше сомнения в целесообразности хранения этих данных «сырыми».
На счет защиты и панацеи, htmlspecialchars — является одним из способов защиты от XSS.
Все верно:
1. У «коробки» Битрикс этой проблемы нет.
2. API Битрикс действительно позволяет совершать ошибки разработчикам.
3. На счет уязвимости типа «недалекий разработчик», не соглашусь с Вами.

Дело в том, что изначально, в документации к API Битрикс:
http://dev.1c-bitrix.ru/api_help/forum/developer/cforumtopic/getlist.php
Были приведены примеры использования, а именно:

while ($ar_res = $db_res->Fetch())
{
  echo $ar_res["TITLE"]."<br>";
}


После того, как информацию по проблеме была предоставлена Битрикс, пример был «отредактирован»:

while ($ar_res = $db_res->Fetch())
{
  echo htmlspecialcharsbx($ar_res["TITLE"])."<br>";
}


Поэтому, я не согласен с Вами, только в части «криворуких разработчиков», а так, все верно.
Где Вы видите подмену?
Все правильно написано.
В статье, я также обращаю внимание на то, что у готового интернет-магазина «из коробки» проблема отсутствует.
Но при разработке серьезных проектов, штатных компонентов недостаточно, используется API.
Проблема возникает именно в этом случае, и встречается крайне часто.
На счет «проблема высосана из пальца» — Ваше мнение.
Не надо версию, от греха подальше.
В Битрикс сказать можно, хотя на практике не все обновляются и т.д.
По этой платформе, у меня самого достаточно «непубличного» материала, в Битрикс отдаю, по мере обнаружения и его актуальности.
В апреле этого года. Ваш файл еще не смотрел, отпишу в ветке по нему.
Ничего себе! А когда это было?
Из смешного, в последнее время, только обход фильтра по типу ononclick='JS', когда фильтр Битрикс синтаксически 'on' отрезал, для блокировки той-же XSS. Сейчас, конечно, фильтр проактивки стал достаточно серьезным.
Карма — это хорошо, а предупредить разработчика о потенциально возможной проблеме — еще лучше.
В Битрикс эту проблему еще в апреле отправил, и меры были приняты, многое исправлено.
При всем этом, актуальность этой угрозы безопасности сохраняется и сегодня.
Вы правы, проблемы обнаруживаются, но конкретно этот сюжет, авто-тест не отрабатывал.
Возможно что-то изменилось в 16.5.
В своей работе, я эту проблему встречаю у каждого второго сайта.
Конечно, все так. В статье приведен элементарный пример фильтрации по списку.
Функция есть, а авто-тесты не видят проблемы.
В статье приведены функции php, а не их комбинация.
Фильтрация не предполагает бездумных решений, Вы абсолютно правы.
Конечно, существуют ограничения, которые не позволят реализовать и эксплуатировать атаку.
Суть проблемы в том, что для огромного количества сайтов, созданных на платформе 1С-Битрикс — эта уязвимость актуальна.
Кроме этого, в апреле, я передал всю информацию в Битрикс.
Естественно, на их ресурсах, этой проблемы нет.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность