[Из песочницы] Cистематическая уязвимость сайтов, созданных на CMS 1С-Битрикс
Написать о систематических уязвимостях сайтов, созданных на коммерческих CMS, подтолкнул пост, в котором были описаны риски взлома «защищенных» CMS.
В этой статье основное внимание уделяется компрометации ресурсов по причине «человеческого фактора», а тема эксплуатации уязвимостей сайтов и веб-атак была обойдена предположением существования «неуязвимых» CMS. Предположение о существовании «неуязвимых» CMS, возможно, имеет право на существование, как пример, безопасность готового интернет-магазина «из коробки» на CMS 1C-Битрикс очень высока, и найти более-менее серьезные уязвимости кода «коробочной версии» вряд ли удастся.
Другое дело безопасность конечного продукта, созданного на такой CMS, и самое главное, систематика проявления уязвимостей высокого уровня угроз у этих сайтов. Исходя из нашей практики по обеспечению безопасности сайтов (компания InSafety), а также статистики, которую мы собираем по уязвимостям платформ (CMS), не менее чем у пятидесяти процентов сайтов, созданных на платформе 1С-Битрикс c личными кабинетами пользователей, существует возможность эксплуатации хранимых XSS-атак.
Подробности
В этой статье основное внимание уделяется компрометации ресурсов по причине «человеческого фактора», а тема эксплуатации уязвимостей сайтов и веб-атак была обойдена предположением существования «неуязвимых» CMS. Предположение о существовании «неуязвимых» CMS, возможно, имеет право на существование, как пример, безопасность готового интернет-магазина «из коробки» на CMS 1C-Битрикс очень высока, и найти более-менее серьезные уязвимости кода «коробочной версии» вряд ли удастся.
Другое дело безопасность конечного продукта, созданного на такой CMS, и самое главное, систематика проявления уязвимостей высокого уровня угроз у этих сайтов. Исходя из нашей практики по обеспечению безопасности сайтов (компания InSafety), а также статистики, которую мы собираем по уязвимостям платформ (CMS), не менее чем у пятидесяти процентов сайтов, созданных на платформе 1С-Битрикс c личными кабинетами пользователей, существует возможность эксплуатации хранимых XSS-атак.
Подробности
Источник: Хабрахабр
Похожие новости
- Как повысить производительность и улучшить отношения с коллегами и начальством за счёт EQ
- Сказ о том, как пентестеры трафик скрывают
- Построение полносвязной сети с применением ГОСТового шифрования. Или как скрестить Cisco и Континент
- About People: 4 ошибки в HR-менеджменте, из-за которых компания теряет более 265.000₽: инсайды кадрового агентства
- История 16-летнего подростка взломавшего ЦРУ
- Тесты «Тринити»: совместимость со средствами доверенной загрузки
- Коляс Иванов: Ваш логотип в тренде или устарел? 7 шагов для быстрой проверки
- Прогноз результатов продвижения сайта для зарубежного рынка при помощи инструмента Ahrefs
- Минус 26 млн рублей: как изменится доход блогеров-иноагентов
- Избирательный стилер: SapphireStealer маскировался под листовку ЦИК о выборах президента