
О мошеннических схемах использования open redirect в 1С-Битрикс
Существует актуальная угроза для информационных ресурсов Российской Федерации, функционирующих с использованием платформы для управления сайтами «1С-Битрикс». В платформе «1С-Битрикс» содержится встроенная функции автоматического перенаправления пользователей с одного URL-адреса на другой. Она используется в случае изменения URL-адресов страниц сайта либо в маркетинговых целях. По умолчанию указанная функция позволяет перенаправлять пользователя на любой сторонний ресурс без его уведомления об этом. Это происходит путём добавления к URL-адресу сайта атрибута «goto» и URL-адреса стороннего ресурса. Примеры использования функции перенаправления путём дополнения ссылки атрибутом «goto»:
https://целевой_сайт/bitrix/redirect.![]() https://целевой_сайт/bitrix/rk.php?goto=http://сторонний_сайт/ |

Пример активации функции защиты редиректов от фишинга
В случае если функционал перенаправления не используется целевым сайтом, разработчики платформы рекомендуют удалить служебные файлы «redirect.php» и «rk.php», которые отвечают за перенаправление пользователей. Такое решение сделает невозможным сбор статистики переходов пользователей на сторонние ресурсы.НКЦКИ предупреждает об уязвимости «нулевого дня» в Apache Log4j Apple устранила уязвимости в своих продуктах
Все новости
apache — перенаправление с порта 80
Задавать вопрос
спросил
Изменено 2 года, 7 месяцев назад
Просмотрено 75 раз
Возникла проблема. (.*)$ /bitrix/urlrewrite.php [L]
RewriteRule .* — [E=REMOTE_USER:%{HTTP:Авторизация}]
Nginx:
пользователь bitrix; рабочие_процессы 8; error_log /var/log/nginx/error.log предупреждение; pid /var/run/nginx.pid; worker_rlimit_nofile 10240; события { использовать эполл; worker_connections 10240; } http { включить /etc/nginx/mime.types; приложение default_type/принудительная загрузка; server_names_hash_bucket_size 128; # Описание поддерживаемых форматов журнала доступа log_format main '$remote_addr - $remote_user [$time_local - $upstream_response_time] ' '$статус "$запрос" $body_bytes_sent ' '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"'; log_format common '$remote_addr - - [$time_local - $upstream_response_time] ' '"$запрос" $статус $bytes_sent ' '"$http_referer" "$http_user_agent" $msec'; балансировщик log_format '$remote_addr - $remote_user [$time_iso8601] "$host" ' '"$запрос" $статус $body_bytes_sent "схема: $схема" ' '"$http_referer" "$http_user_agent" "$http_x_forwarded_for" ' '"$request_length" : "$request_time" -> $upstream_response_time'; log_format debug '$upstream_response_time,"$time_local","$remote_addr","$request",$status,$body_bytes_sent'; # загрузить карты по умолчанию включить bx/maps/*.conf; # файлы настроек включить bx/settings/*.conf; # Отключить логирование запросов в nginx по умолчанию #access_log /var/log/nginx/access.log общий; доступ_лог выключен; отправить файл включен; tcp_nopush включен; tcp_nodelay включен; client_max_body_size 1024 м; client_body_buffer_size 4 м; # Параметры внутреннего прокси запроса proxy_connect_timeout 600; proxy_send_timeout 300; proxy_read_timeout 300; proxy_buffer_size 64 КБ; proxy_buffers 8 256 КБ; proxy_busy_buffers_size 256 КБ; proxy_temp_file_write_size 10 м; # Назначить обработчики ошибок по умолчанию error_page 500 502 503 504 /500.html; страница_ошибки 404 = /404.html; # Параметры сжатия контента gzip включен; gzip_proxy любой; gzip_static включен; gzip_http_версия 1.0; приложение gzip_types/приложение x-javascript/текст javascript/css; # add_header включить bx/conf/http-add_header.conf; # Установить веб-сайт по умолчанию включить bx/site_enabled/*.
conf; # Установить дополнительные сайты включить bx/site_ext_enabled/*.conf; }
Тест на завиток:
$ curl http://127.0.0.1 -i HTTP/1.1 301 перемещен навсегда Сервер: nginx/1.16.0 Дата: Чт, 23 июля 2020 г., 10:25:56 по Гринвичу Тип содержимого: текст/html; кодировка = iso-8859-1 Длина контента: 303 Соединение: Keep-alive Расположение: https://127.0.0.1:80/ X-Content-Type-Options: nosniff Параметры X-Frame: SAMEORIGIN <заголовок>301 перемещен навсегда <тело>Перемещено навсегда
Документ перемещен сюда.
<час> Сервер Apache/2.4.6 (CentOS) на 127.0.0.1, порт 80
- apache
- .htaccess
- nginx
- перенаправление
4
Зарегистрируйтесь или войдите в систему
Зарегистрируйтесь с помощью Google
Зарегистрируйтесь, используя адрес электронной почты и пароль
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Опубликовать как гость
Электронная почта
Требуется, но не отображается
apache — Bitrix CMS, Apach 2.

Задавать вопрос
спросил
Изменено 6 лет, 8 месяцев назад
Просмотрено 345 раз
Я целый день бился над этой проблемой, но так и не понял, почему она не работает. Я развернул веб-сайт с хостинга на локальный сервер для тестирования/обновления. Админ-парк работает нормально, главная страница работает нормально, каталоги и компоненты работают нормально. Но каждый компонент, который полагается на механизм перезаписи URL, не работает. Он отправляет меня на 404. Например, я могу просмотреть каталог /catalog/, но если я запрошу /commodity/good/, меня отправят на 404, так происходит с компонентом новостей и т. д. Я пробовал много вариантов конфигурации сервера, но результат либо то же самое либо ошибка сервера.
Я сбросил свои эксперименты на конфигурацию по умолчанию, вроде должно работать
Параметры Аллововеррайд Требовать все отказано <Каталог "C:\VertrigoServ\www"> Индексы опционов FollowSymLinks включает Разрешить переопределить все Требовать все предоставленные
И вроде работает, но как-то странно. Если я добавлю инструкцию перенаправления в .htaccess, он выполнит это перенаправление. Но Битрикс все равно не работает должным образом.
Вот что я оставил в основном файле .htaccess
Параметры -Индексы Документ об ошибке 404 /404.phpphp_flag allow_call_time_pass_reference 1 php_flag session.use_trans_sid выключен #php_value display_errors 1 #php_value mbstring.internal_encoding UTF-8 Опции +FollowSymLinks RewriteEngine включен RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-l RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.