1C-Битрикс разработчиците - интерпретация на резултатите от скенера за сигурност

Колеги, имам удоволствието да Ви посрещнем!
От стартирането на скенера в 12.5.0 сигурност за освобождаване на сигурността отне около половин година. През това време неговите препоръки са видели около 12k + сайтове (общо повече от 50k проверки). Уви, като статистиката показва, по-голямата част от своите препоръки или игнорира или не знам какво да правя с тях. Ето защо реших да се опише по-подробно на тестовете и как да се тълкуват резултатите от тях. Аз ще се опитам да опиша обща заплаха или заплаха, която причинява най-голям брой въпроси. Внимание, обилно количество хардкор-долу.

Както знаете от предишния пост скенера за сигурност - истински приятел и помощник. Скенерът е разделен на две части - на местни и външни. Локално - е отговорен за проверка, че е невъзможно / непрактично да изпълняват "извън", като предпочитания за сайт или изпълнение на PHP / Python / Perl / и т.н. включили в съхранение на изтеглените файлове директория е много по-ефективен, за да го проверите от вътрешната страна. Всички проверки са групирани по видове (настройки на околната среда, настройка PHP, уебсайт и т.н.), така че предлагам да започнем с цел :)

настройки на околната среда

• указател сесии файл за съхранение е на разположение на всички потребители на системата
  Можете да съзерцавам посланието на тази заплаха, когато за съхранение на файлове в директорията сесии PHP (session.save_path подразбиране / ПТУ.) Е достъпна за всички (други), например:
  

Вие трябва да намерите всички настоящите правила:

(Full картина е валидна за PHP мнение!), След това, по искане на файла, ще се дава на тялото на вида на текста / HTML, което е логично, тъй като Apache, работещи с които се прави позоваване, за да се определи вида:

Външни сканира изглежда заслужават отделна публикация, но ще се опитам накратко да подчертая основните точки.

• Предлага директории
  Уви, включени Directory AUTOINDEX повсеместен и обещава минимум неконтролиран достъп до потребителските изтеглени файлове. За Nginx трябва да бъдат отстранени AUTOINDEX директива, тя изглежда така:
  

За Apache, това Опции + индекси, по някакъв начин тя ще изглежда в конфигурационния файл:

И сега с произволно:

Антон, уви, не знам отговора на този въпрос :( Въз основа на мим-смъркане, че е по-IE отговор на ужасна култура на уеб разработки, когато css'ki може да "лети" като текст / обикновен и др Спомняте ли си времето, когато Сайтът може да работи добре в IE и не се отвори в Netscape? струва ми се, само за да се скрие за крайния потребител част от недостатъците на разработчик и е изобретена тази функция :( за съжаление, в цялата мрежа вървял по този път, и по този начин много снизхождение на HTML-код, например:

Да доведе до същия резултат :( И много мерки ток за сигурност - това е присъщо за ограничаване на разработчика да се направи нещо, което му дава възможност по-рано например, CSP (най-доброто средство за защита на мястото от XSS'ok - забранят всички inlaynovy JS изобщо). или HttpOnly (достатъчно рано често можете да се намери манипулира бисквитки, за да JS)

Вие трябва да намерите всички настоящите правила:

$ Намери ./upload -тип е -name ".htaccess" -print -exec котка <> \; ./ качване / поддръжка / not_image / .htaccessDeny от all./upload/.htaccess RemoveHandler PHP .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .ico .shtm .shtml .fcg .fcgi .fpl .asmx .pht .py .psp AddType текст / обикновен PHP. php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .ico .shtm .shtml .fcg .fcgi .fpl .asmx .pht .py .psp php_flag изключен двигател

Преместете ги на конфигурацията на виртуален хост сайта си и да добавите AllowOverride Нито за директория на файлове за изтегляне, като този:

AllowOverride никой Поръчка позволи, отрече Deny от всичко AllowOverride никой AddType текст / обикновен PHP .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .ico .shtm .shtml .fcg .fcgi .fpl .asmx .pht .py .psp php_value изключен двигател

Андрю, и в кой файл да добавите тези правила? Ако добавите в .htaccess, а след това да получа 500 грешка.

Така че, най-вероятно след проверка на правото ви казва, че сесията се съхранява в смесен с останалите.

на сървъра, в момента се използва за съхранение на кеша OPcache

OPCache - това предкомпилатор и тя се използва за кеширане / оптимизиране на PHP код, потребителски данни пространство (например кеш, или Битрикс сесия) не може да се съхранява. Името му обърква много :-)
Все още всичко покрие тези опции две и половина - промяна на пътя на сесиите за съхранение на файлове, да ги съхранявате в база данни, или да ги съхранявате на Memcached.
С първия вариант вие ще помогнете за хостинг компания, мисля.
С втората половина и е по-лесно:
1. да съхранява сесии в базата данни е достатъчна, за да се даде възможност респ. настройка. Внимание, натоварването на базата данни ще се увеличи
2. За да ги съхранявате на Memcached трябва да бъде инсталиран, конфигуриран и работи Memcached. По-просто:
- В dbconn.php установи информация за връзка:

- Включва съхраняващи сесии в базата данни в BUS администраторския панел.

8-800-250-1860 Свържете се с нас Карта на сайта

дизайна на сайта Web -