О мошеннических схемах использования open redirect в 1С-Битрикс
Существует актуальная угроза для информационных ресурсов Российской Федерации, функционирующих с использованием платформы для управления сайтами «1С-Битрикс». В платформе «1С-Битрикс» содержится встроенная функции автоматического перенаправления пользователей с одного URL-адреса на другой. Она используется в случае изменения URL-адресов страниц сайта либо в маркетинговых целях. По умолчанию указанная функция позволяет перенаправлять пользователя на любой сторонний ресурс без его уведомления об этом. Это происходит путём добавления к URL-адресу сайта атрибута «goto» и URL-адреса стороннего ресурса. Примеры использования функции перенаправления путём дополнения ссылки атрибутом «goto»:
https://целевой_сайт/bitrix/redirect. php?goto=http://сторонний_сайт/https://целевой_сайт/bitrix/rk.php?goto=http://сторонний_сайт/ |
Пример активации функции защиты редиректов от фишинга
В случае если функционал перенаправления не используется целевым сайтом, разработчики платформы рекомендуют удалить служебные файлы «redirect.php» и «rk.php», которые отвечают за перенаправление пользователей. Такое решение сделает невозможным сбор статистики переходов пользователей на сторонние ресурсы.НКЦКИ предупреждает об уязвимости «нулевого дня» в Apache Log4j Apple устранила уязвимости в своих продуктах
Все новости
apache — перенаправление с порта 80
Задавать вопрос
спросил
Изменено 2 года, 7 месяцев назад
Просмотрено 75 раз
Возникла проблема. Nginx: Тест на завиток: Документ перемещен сюда. 4 Зарегистрируйтесь с помощью Google
(.*)$ /bitrix/urlrewrite.php [L]
RewriteRule .* — [E=REMOTE_USER:%{HTTP:Авторизация}] пользователь bitrix;
рабочие_процессы 8;
error_log /var/log/nginx/error.log предупреждение;
pid /var/run/nginx.pid;
worker_rlimit_nofile 10240;
события {
использовать эполл;
worker_connections 10240;
}
http {
включить /etc/nginx/mime.types;
приложение default_type/принудительная загрузка;
server_names_hash_bucket_size 128;
# Описание поддерживаемых форматов журнала доступа
log_format main '$remote_addr - $remote_user [$time_local - $upstream_response_time] '
'$статус "$запрос" $body_bytes_sent '
'"$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
log_format common '$remote_addr - - [$time_local - $upstream_response_time] '
'"$запрос" $статус $bytes_sent '
'"$http_referer" "$http_user_agent" $msec';
балансировщик log_format '$remote_addr - $remote_user [$time_iso8601] "$host" '
'"$запрос" $статус $body_bytes_sent "схема: $схема" '
'"$http_referer" "$http_user_agent" "$http_x_forwarded_for" '
'"$request_length" : "$request_time" -> $upstream_response_time';
log_format debug '$upstream_response_time,"$time_local","$remote_addr","$request",$status,$body_bytes_sent';
# загрузить карты по умолчанию
включить bx/maps/*.
conf;
# файлы настроек
включить bx/settings/*.conf;
# Отключить логирование запросов в nginx по умолчанию
#access_log /var/log/nginx/access.log общий;
доступ_лог выключен;
отправить файл включен;
tcp_nopush включен;
tcp_nodelay включен;
client_max_body_size 1024 м;
client_body_buffer_size 4 м;
# Параметры внутреннего прокси запроса
proxy_connect_timeout 600;
proxy_send_timeout 300;
proxy_read_timeout 300;
proxy_buffer_size 64 КБ;
proxy_buffers 8 256 КБ;
proxy_busy_buffers_size 256 КБ;
proxy_temp_file_write_size 10 м;
# Назначить обработчики ошибок по умолчанию
error_page 500 502 503 504 /500.html;
страница_ошибки 404 = /404.html;
# Параметры сжатия контента
gzip включен;
gzip_proxy любой;
gzip_static включен;
gzip_http_версия 1.0;
приложение gzip_types/приложение x-javascript/текст javascript/css;
# add_header
включить bx/conf/http-add_header.conf;
# Установить веб-сайт по умолчанию
включить bx/site_enabled/*.
$ curl http://127.0.0.1 -i
HTTP/1.1 301 перемещен навсегда
Сервер: nginx/1.16.0
Дата: Чт, 23 июля 2020 г., 10:25:56 по Гринвичу
Тип содержимого: текст/html; кодировка = iso-8859-1
Длина контента: 303
Соединение: Keep-alive
Расположение: https://127.0.0.1:80/
X-Content-Type-Options: nosniff
Параметры X-Frame: SAMEORIGIN
<заголовок>
Перемещено навсегда
Зарегистрируйтесь или войдите в систему
Зарегистрируйтесь, используя адрес электронной почты и пароль
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Опубликовать как гость
Электронная почта
Требуется, но не отображается
apache — Bitrix CMS, Apach 2.
4 (VertrigoServ) проблема htaccessЗадавать вопрос
спросил
Изменено 6 лет, 8 месяцев назад
Просмотрено 345 раз
Я целый день бился над этой проблемой, но так и не понял, почему она не работает. Я развернул веб-сайт с хостинга на локальный сервер для тестирования/обновления. Админ-парк работает нормально, главная страница работает нормально, каталоги и компоненты работают нормально. Но каждый компонент, который полагается на механизм перезаписи URL, не работает. Он отправляет меня на 404. Например, я могу просмотреть каталог /catalog/, но если я запрошу /commodity/good/, меня отправят на 404, так происходит с компонентом новостей и т. д. Я пробовал много вариантов конфигурации сервера, но результат либо то же самое либо ошибка сервера.
Я сбросил свои эксперименты на конфигурацию по умолчанию, вроде должно работать
Параметры Аллововеррайд Требовать все отказано <Каталог "C:\VertrigoServ\www"> Индексы опционов FollowSymLinks включает Разрешить переопределить все Требовать все предоставленные
И вроде работает, но как-то странно. Если я добавлю инструкцию перенаправления в .htaccess, он выполнит это перенаправление. Но Битрикс все равно не работает должным образом.
Вот что я оставил в основном файле .htaccess
Параметры -Индексы Документ об ошибке 404 /404.phpphp_flag allow_call_time_pass_reference 1 php_flag session.use_trans_sid выключен #php_value display_errors 1 #php_value mbstring.internal_encoding UTF-8 Опции +FollowSymLinks RewriteEngine включен RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-l RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !/bitrix/urlrewrite.
