C
Cheap_Bitrix
@Cheap_Bitrix882 подп.
2.3Kпросмотров
1 декабря 2023 г.
Score: 2.5K
Привет подписчики! #Беллютень_безопасности_битрикс! #bitrix В PHP точки, пробелы и "[" в именах запросов автоматически переименовываются в нижнее подчеркивание. А "+" в пробел. Это позволяет обходить некоторые фильтрации на уровне веб-сервера или WAF. Например, с помощью конфигурации nginx закрыли доступ к админке из интернета, но есть фича с Bitrix, где можно переписать путь к которому мы обращаемся через параметр: /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ Если кто-то предусмотрел такую возможность, то можно поиграть с следующими именами: /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ /pewpew/?SEF.APPLICATION%20CUR+PAGE[URL=/bitrix/admin/ PoC Добавляем правила закрытия таких вариаций в .htccess В файле .htaccess вы можете использовать правила RewriteCond и RewriteRule для настройки правил авторизации для конкретных URL-ов. Например, следующий код добавляет проверку для URL-ов, содержащих "/pewpew/" и "/bitrix/admin/": <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / # Правило для /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ RewriteCond %{QUERY_STRING} ^SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ [NC] RewriteRule ^pewpew/&#036; - [F] # Правило для /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ RewriteCond %{QUERY_STRING} ^SEF&#092;%20APPLICATION&#092;%20CUR&#092;%20PAGE_URL=/bitrix/admin/ [NC] RewriteRule ^pewpew/&#036; - [F] # Правило для /pewpew/?SEF.APPLICATION%20CUR+PAGE[URL=/bitrix/admin/ RewriteCond %{QUERY_STRING} ^SEF&#092;.APPLICATION&#092;%20CUR&#092;+PAGE&#092;[URL=/bitrix/admin/ [NC] RewriteRule ^pewpew/&#036; - [F] </IfModule> Этот код блокирует запросы к URL-ам, содержащим "/pewpew/" и имеющим параметры запроса, совпадающие с вашими шаблонами для авторизации. Обратите внимание, что файл .htaccess желательно хранить именем владельца root. Кроме того, резервные копии .htaccess всегда рекомендуется делать перед внесением изменений. Если кто-то сомневается в своих способностях администрирования, обращайтесь в нашу техподдержку, мы поможем вас защитить от простых взломов. С уважением, всегда ваш, #Доступный_Битрикс #Уязвимости_Битрикс #Безопасный_Битрикс #bitrix
2.3K
просмотров
2274
символов
Нет
эмодзи
Нет
медиа

Другие посты @Cheap_Bitrix

По многочисленным просьбам подписчиков! Скидки на пакетные предложения с шаблонами -10%. Ваш #Досту👁 2.4KВсем привет! CVE-2024-1086: критическая уязвимость в Linux приводит к потере контроля 🔑 Исследоват👁 2.3KВсем привет! CVE-2023-6246: срочно обновите Linux, пока хакеры не взломали вашу систему ☠️ В систе👁 2.3KУспейте купить только сегодня до вечера по Новогодней Акции набор по цене 12000 рублей. В составе на👁 2.0KДобрый день дорогие наши друзья и подписчики! Решаем вопрос с возвращением наших доменов. Индивидуал👁 2.0K
Все посты канала →
Аналитика каналаБаза постов
Привет подписчики! #Беллютень_безопасности_битрикс! #bitrix — @Cheap_Bitrix | PostSniper