Безопасность

1. Безопасность «Битрикс: Управление сайтом»
2. Защита от DDoS
3. Проактивная фильтр (Web Application Firewall)
4. Аудит безопасности PHP-кода
5. Веб-антивирус
6. Панель безопасности с уровнями защищенности
7. Безопасная авторизация без SSL
8. Журнал Вторжений
9. одноразовые пароли
10. Персональный генератор одноразовых паролей для сайта (OTP)
11. Контроль целостности файлов
12. Проверка целостности скрипта контроля
13. Защита административного раздела
14. защита сессий
15. контроль активности
16. стоп письмо
17. «Облачный» сканер безопасности
18. «Сканер безопасности» следит за безопасностью проекта
19. Безопасность «Битрикс: Управление сайтом»
20. Когда сайт - это имидж и репутация
21. Уязвимости веб-приложений
22. Информация для разработчиков

Проактивная защита

Безопасность «Битрикс: Управление сайтом»

Модуль «Проактивная защита»

Модуль «Проактивная защита» входит в систему «Битрикс: Управление сайтом». Модуль реализует мощный комплекс защитных мероприятий для сайта и сторонних приложений.

Проактивная защита - это целый комплекс технических и организационных мероприятий, объединенных общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Этот модуль включает несколько уровней защиты от большинства известных атак на веб-приложения. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
Одним из первостепенных задач для владельцев веб-проектов является качественную и надежную защиту от хакерских атак, взлома и кражи информации, хранящейся на сайте.

Защита от DDoS

Уникальная совместное предложение для клиентов «Битрикс» позволяет любому сайту с активной коммерческой лицензией получить защиту от DDoS до 10 дней бесплатно!

Сайт любого масштаба - от небольшого регионального интернет-магазина к онлайн-представительства крупнейшей ритейлинговои сети - всегда должен быть доступен для посетителей. Ведь это и источник заказов, и канал коммуникации с клиентами, и «лицо» компании в Интернете, что непосредственно влияет на ее имидж.

Одна из причин, по которым ваш сайт может перестать работать, - DDoS-атака (чаще всего - распределенная атака на ваш сайт с помощью большого числа «мусорных» запросов). Источники атак и их технические реализации могут быть самыми разнообразными (целевая атака конкурентов, автоматическая атака от ботнет-сети, значительное количество HTTP-запросов, SYN-флуд атаки и т.п.)

Даже атака небольшой интенсивности требует знаний грамотного технического специалиста для ее отображения. Справиться же с более серьезными атаками невозможно без специализированной защиты.

Проактивная фильтр (Web Application Firewall)

Проактивная фильтр ( WAF - Web Application Firewal ) Обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивная фильтр - наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основана на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

Выключение проактивной фильтра

* Обратите внимание, что некоторые действия пользователей, которые не представляют угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

• защиту от большинства известных атак на веб-приложения;
• экранирование приложении от наиболее активно используемых атак;
• создание списка страниц-исключений из фильтрации (по маске)
  
• распознавания большинства опасных угроз;
• блокирования вторжений на сайт;
• защита от возможных ошибок безопасности;
• фиксирования попыток атак в журнале;
• информирование администратора о случаях вторжения;
• настройки активной реакции - действий системы при попытке вторжения на сайт:
• сделать данные безопасными;
• очистить опасные данные;
• добавить IP адрес атакующего в стоп-лист на ХХ минут
• занести попытку вторжения в журнал.
• обновление вместе с продуктом.

Аудит безопасности PHP-кода

Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.
Инструмент для аудита PHP-кода
запустить автотетст

Найти и испытать этот инструмент можно в административной части сайта: Настройка -> Инструменты -> «Монитор качества» -> выбрать тест «Принять меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при наличии найденных проблем). Подробнее о Монитор качества

Как работает на практике тест и какой отчет он составляет - в блоге Андрея Красичкова

Система проверки «Монитор качества» также работает в каталоге веб-приложений для сайтов и корпоративных порталов «Битрикс: Маркетплейс» .

Подробнее о контроле качества в «Битрикс: Маркетплейс»

Веб-антивирус

Веб-антивирус встроен непосредственно в сам продукт - систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложений на веб-угрозы.
«Веб-антивирус» препятствует имплантирования вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» обнаруживает в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на пользователя сайта - антивирус препятствует этому. И, что особенно важно, «Веб-антивирус» сообщает администратора портала - предупреждает о наличии вируса. Получая информацию об этом, администратор ищет источник вредоносного кода, проводит «зачистку» компьютера и усиливает профилактические мероприятия. Подробнее

Панель безопасности с уровнями защищенности

Любой веб-проект, работающий под управлением «Битрикс: Управление сайтом», обязательно должен начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышен. При этом система подскажет - выдаст рекомендации - действие необходимо установить для каждого параметра на выбранном текущем уровне.

• начальный уровень безопасности - получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;
  

• стандартный уровень - в проекте задействованы стандартные инструменты проактивной защиты продукта;
  

• проактивная фильтр (на весь сайт без исключений)
• ведется журнал вторжений за последние 7 дней
• включен контроль активности;
• повышенный уровень безопасности для группы администраторов;
• использование CAPTCHA при регистрации;
• режим вывода ошибок (только ошибки).

• высокий уровень - рекомендованный уровень защиты получают проекты, выполнившие требования стандартного уровня, и дополнительно включили:
  

• журнала событий главного модуля
• защиту административной части;
• хранения сессий в базе данных;
• изменение идентификатора сессий.

• повышенный уровень - специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критической информациею.Додатково к высокому уровню:
  

• включения одноразовых паролей;
• контроль целостности скрипта контроля.

Безопасная авторизация без SSL

С помощью методики безопасной аутентификации пароли из формы авторизации ваших сотрудников невозможно сломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала. Подробнее

• безопасная аутентификация шифрования пароля позволяет избежать передачи пароля в открытом виде без SSL;
• все инструменты, которые использовались ранее для авторизации, продолжат работать.

SSL-шифрования: как организовать шифрование данных

Журнал Вторжений

В журнале регистрируются события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет выявлять атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать соответствующие меры, и, в некоторых случаях, даже предупреждать атаки.

• оперативная регистрация всех событий в системе;
• в случае срабатывания проактивной фильтра запись в Журнале в одной из категорий атак:
• попытка внедрения SQL;
• попытка атаки через XSS;
• попытка внедрения PHP.
• отбор вредоносных событий по фильтру;
• просмотр и анализ событий в реальном времени;
• немедленная реакция - ответная мера на событие;
• профилактика и предупреждение событий на основе их анализа;

одноразовые пароли

Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Однако особенно рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».
система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS или соответствующее программное обеспечение, реализующее OTP .
Что вам дает такая технология? Однозначный уверенность, что на сайте авторизуется именно тот пользователь, которому выдано брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл том, что пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелке не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

• усиление системы безопасности интернет-проекта;
• использование аппаратных устройств;
• использование ПО, реализующего OTP;
• расширена аутентификация с одноразовым паролем - при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль;
• авторизация только с использованием имя (login) и составного пароля;
• заполнения при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства;
• восстановления синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.

Персональный генератор одноразовых паролей для сайта (OTP)

С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для учетных записей. Это реализует OTP программное обеспечение, разработанное компанией «Битрикс24», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.

Установить Bitrix OTP вы можете прямо с сайта, работающего на «Битрикс: Управление сайтом» 10.0 и выше. Для этого достаточно перейти в браузере мобильного телефона по адресу http: // <ваш_сайт> / bitrix / otp / и следовать инструкциям на экране. Бесплатная установка Bitrix OTP также возможна из онлайн-магазина приложений.

Установите приложение от «Битрикс» на мобильный телефон и создавайте одноразовые пароли для входа на сайт, поддерживающий авторизацию по OTP. Программа поддерживает работу с несколькими сайтами одновременно.
Создание нового сайта
получение пароля
Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особенно рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности для пользователя группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, который поддерживает авторизацию по ОТП, и затем каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка. Подробнее

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

• отслеживание изменений в файловой системе;
• проверка целостности ядра;
• проверка системных областей;
• проверка публичной части продукта.

Проверка целостности скрипта контроля

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое слово (отличное от пароля) и нажмите на кнопку «Установить новый ключ».

• проверка скрипта на наличие изменений;
• защиту целостности скрипта ключом - символьным паролем.

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается работникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP-адресов, с которых как раз и разрешается управления сайтом. Не бойтесь закрыть доступ в момент установки блокировки - этот момент проверяется системой.
Какой эффект от использования данного защиты? Любые XSS / CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

• ограничения доступа к административной части всех IP-адресов, кроме указанных;
• автоматическое определение системой IP адреса пользователя;
• ручной ввод разрешенной IP адреса;
• установка диапазона IP-адресов, с которых разрешен доступ к административной части.

защита сессий

Большинство атак на веб-приложения ставят целью получить данные о авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет о авторизованной сессии администратора, то ее надежную защиту с помощью данного механизма является особенно важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментов защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальны.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

• защита сессий несколькими способами:
• время сессии жизни (минуты)
• изменение идентификатора сессии раз в несколько минут
• маска сети для привязки сессии к IP;
• хранения данных сессий в таблице модуля.
• исключения ошибок конфигурирования виртуального хостинга;
• исключения ошибок настройки прав доступа во временных каталогах;
• исключения проблем настройки операционной среды;
• разгрузки файловой системы;
• бесполезность похищения сессий злоумышленниками.

контроль активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора пароля перебором. В настройках можно установить максимальную активность пользователей сайта (например, число запросов в секунду, которые может выполнить пользователь).

• защиту от чрезмерно активных пользователей;
• защита от программных роботов
• защита от некоторых категорий DDoS-атак;
• отсечения попыток подбора паролей перебором;
• установка максимальной активности пользователей для сайта;
• фиксирования превышения лимита активности пользователя в Журнале вторжений;
• блокировка пользователя, превысил количество запросов в заданный временной интервал;
• вывода для заблокированного пользователя специальной информационной страницы.

Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, соответственно, доступен только в тех редакциях продукта , В которые входит этот модуль.

стоп письмо

Стоп-лист - таблица, содержащая параметры, которые используются для ограничения доступа посетителей к содержимому сайта и перенаправления на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут заблокированы.

• перенаправления посетителей, параметры которых содержатся в стоп-листе;
• блокировки пользователей по IP адресам со стоп-листа;
• ручное пополнение стоп-лист новыми записями;
• учет статистики пользователей, которым запрещен доступ к сайту;
• установление периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
• изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.

Спасибо компании InternalSecurity за помощь в улучшении системы безопасности продуктов «Битрикс»

сканер

«Облачный» сканер безопасности

«Сканер безопасности» - сервис для мониторинга уязвимостей сайтов. Вместе с модулем «Проактивная защита» сервис «Сканер безопасности» позволяет осуществить полную диагностику угроз безопасности веб-ресурса и своевременно предотвратить их.
С помощью «Сканера безопасности» можно выполнить сканирование окружения проекта, проверить настройки, найти потенциальные уязвимости в коде, убедиться в правильности настроек всех систем безопасности.

Впервые в мировой практике для CMS разработан «облачный» сервис, который проверяет ресурс на наличие внешних и внутренних угроз.

1. Выполнять внутреннее сканирование окружения проекта, например, безопасно хранятся сессии.
2. Выполнять проверку настроек сайта, например, включен WAF, Установленный пароль к БД и тому подобное.
3. Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа .
4. Запускать внешнее сканирование.

«Сканер безопасности» следит за безопасностью проекта

• Собственный профессионализм разработчика;
• Web Application Firewall;
• Статический анализ кода
• Посторонний анализ безопасности веб-приложения;
• Непрерывная работа команды «Битрикс» по обеспечению безопасности API и компонентов системы.

Как работает «Сканер безопасности»

Достаточно в административной части сайта войти в «Сканер безопасности» и нажать кнопку «Запустить сканирование», после чего дождаться результатов и принять меры по устранению выявленных уязвимостей.
«Сканер безопасности» предлагает выполнить сканирование, если вы не делали этого целый месяц.

запускаем сканирование
Сканер очень быстро, за секунды сканирует.

Ждем результат
После завершения сканирования вы видите его результаты.

анализируем результаты
Вы просматриваете результаты сканирования и исправляете критические проблемы.

Подробнее о работе Сканера безопасности - в блоге Андрея Красичкова

важно

Сайт является частью корпоративной инфраструктуры и неудивительно, что компании большое внимание уделяют вопросам безопасности.

По данным компании Positive Technologies : Доля атак на веб составляет более 50%; ежедневно регистрируются десятки взломов веб-сайтов.

Но значит ли это, что сайты лучше не делать? Современный прогресс и конкурентная среда не оставляют выбора. Сайты будут создавать, будут делать более и более функциональными. Как защитить компанию от потенциальных неприятностей? Какое решение выбрать и как защитить свой сайт от возможных проблем? Давайте обсудим.
Поможет в этом правильный выбор системы управления контентом сайта (CMS), надежного хостинга, серверного программного обеспечения и своевременное проведение мероприятий, направленных на снижение вероятности возникновения проблемных ситуаций на веб-проектах.

Безопасность «Битрикс: Управление сайтом»

При проектировании программного продукта «Битрикс: Управление сайтом» вопросам безопасности продукта уделялось особое значение на всех этапах разработки и тестирования.

Когда сайт - это имидж и репутация

- это удар по репутации и имиджа компании. Очень неприятное в таких событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах - это уже прямые убытки. И огласку таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта.

Обеспечение информационной безопасности веб-приложений - процесс сложный и кропотливый, в котором участвуют различные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, вы должны непрерывно следить за безопасностью информационной среды и за безопасностью веб-приложений.

Использование продукта «Битрикс: Управление сайтом», который получил сертификат «Безопасный веб-приложение» от компании Positive Technologies, которая проводила аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены.

В качестве независимых экспертов для подготовки материалов данного раздела привлечены специалисты компании Positive Technologies.

Уязвимости веб-приложений

Существует целый класс уязвимостей, которым подвержены веб-приложения. Но очень часто проблемы информационной безопасности остаются за рамками бюджета или вообще не фигурируют в этапах разработки.

интересный материал на эту тему опубликовано Алексеем Лукацкий, руководителем отдела Интернет-решений компании «Информзащита» (в настоящее время менеджер по развитию бизнеса Cisco Systems) в журнале BYTE Россия:

«Автор прошелся по Web-сайтам некоторых, в том числе и именитых студий, предлагающих свои (недешевые, заметим) услуги по созданию сайтов, и что же? Ни одна из них не упомянула в своих "портфолио" понятие "защищенный сайт". И в типовых договорах нет ни слова о защите ...

Что это - некомпетентность или осознанное нежелание ввязываться в неизвестную область ИТ? К сожалению, приходится признать, что скорее всего первое. Попробую проиллюстрировать этот тезис, опираясь на личный опыт участия в ряде Интернет-проектов ... »

Вполне текст статьи опубликован в разделе «Защищенный сайт» .

Перечислим некоторые из проблем, которые встречаются чаще всего:

• Cross Site Scripting
• SQL- injection
• PHP- injection
• HTTP Response Splitting
• HTML code injection
• File Inclusion
• Directory traversal и некоторые другие.

Перечисленные типы уязвимостей могут встречаться во всех веб-приложениях, независимо от того, разработаны они одним специалистом или известной компанией. Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.

подробнее

Информация для разработчиков

Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к вопросу безопасности информационной среды и веб-приложений.

Используя для работы веб-проекта только «Битрикс: Управление сайтом», вы можете минимизировать угрозы, связанные с веб-приложениями. Пользуясь технологией SiteUpdate , Вы будете всегда иметь в своем распоряжении самую последнюю версии продукта. Усилия, которые предпринимает компания «Битрикс24» для обеспечения высокого уровня безопасности в сочетании с независимым аудитом и непрерывным мониторингом со стороны компании Positive Technologies, позволяют быть уверенными в высоком уровне защищенности сайта в целом.

При разработке сайтов соблюдайте элементарные правила осторожности. Нельзя доверять всем посетителям сайта и надеяться на то, что любая введенная ими информация не приведет к разрушительным действиям. Эти правила не так трудно запомнить, но без них вы ставите под угрозу безопасность вашего сайта.

1. Используйте функцию htmlspecialchars. Любое вывода на сайте из базы данных HTML-формы или других источников повиннни быть предварительно приведены в безопасный, с точки зрения HTML, вид с помощью функции htmlspecialchars. У разработчика должно войти в привычку использования этой функции. Ни в коем случае нельзя писать "echo $ _GET [ 'id'];", везде пишите "echo htmlspecialchars ($ _ GET [ 'id']);", где бы этот вывод не находилось: в заголовке, теле страницы или атрибуте тега <a href = "". Применение этого простого правила навсегда избавит вас от XSS-атак. Следует также отметить, что в продукте "Битрикс: Управление сайтом" есть методы, которые автоматизируют преобразование строк из БД или форм в HTML безопасный вид (например, CDBResult :: GetNext), а некоторые API функции, которые выбирают данные, сами преобразуют все строки , готовя их для вывода на страницу (например, GetIBlockElement). Подробности работы каждой функции можно найти в документации продукта.

2. Используйте метод $ DB-> ForSQL в запросах к БД. При обычной разработке веб-проекта на основе продукта "Битрикс: Управление сайтом" вам не придется писать прямые запросы к базе данных, так как API функции сделают это за вас, но если вы разрабатываете свой модуль или хотите выбрать данные из собственных таблиц, то все параметры, входящие в запрос, необходимо обернуть методом CDatabase :: ForSQL. В противном случае вы рискуете быть атакованы методом SQL инъекция.

3. Любой доступ к файлам должен быть контролируемым. Чаще всего разработчики используют метод динамического подключения скриптов, имя которого передается параметром в URL (например, require ($ _ REQUEST [ 'act'])). В этом случае обязательно нужно составить список допустимых имен скриптов и подключать необходимый файл только после предварительной проверки его имени. В противном случае злоумышленник сможет выполнить произвольный скрипт или вывести содержимое файла с секретной информацией. Также один из возможных сценариев, представляет угрозу безопасности, это скрипт, который выводит содержимое некоторого файла. В обоих случаях следует помнить, что путь к файлу может состоять из символов обратного пути (значок две точки, например "../secret.txt»). Файловая система корректно обработает такой путь к файлу и вы, сами того не представляя, можете дать доступ к файлу, находится далеко от той папки, в которую вы планировали дать доступ пользователю. Важно не забывать о символе обратной слэша "\", так как такой символ является аналогом прямого слеша "/" в некоторых ОС. Перед обработкой пути к файлу воспользуйтесь функцией продукта Rel2Abs, которая приведет путь в абсолютный вид и позволит избежать дальнейших неприятностей с его использованием.

4. Проверяйте все, что посетитель загружает к вам на сайт. Одна из типичных ошибок при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов. Важно помнить, что потенциально опасные файлы не только с расширением .php, но и .pl и даже .asp файлы, потому сайт может находиться на веб-сервере IIS, который выполняет такие файлы. Используя такую ​​уязвимость, злоумышленник может под видом аватара на форуме загрузить вредоносный код и выполнить его. Поэтому единственно правильный вариант это составить список поддерживаемых расширений имен файлов (например jpg, gif, png) и позволять загружать их. В продукте для безопасной загрузки файлов и их проверки разработан ряд функций, например, CFile :: CheckFile.

5. Не храните и не передавайте в URL потенциально опасные данные. Ни в коем случае нельзя хранить в cookie или передавать в URL секретную информацию, особенно в открытом (незашифрованном виде). Помните, что эти данные могут быть доступны с javascript или в лог-файлах прокси или веб-серверов. Размещая сторонний счетчик или баннер, вы рискуете, что эти данные станут доступны злоумышленнику. Поэтому вся закрытая информация должна передаваться в POST запросы, по возможности с использованием протокола HTTPS, и храниться в зашифрованном виде.

6. Избегайте потенциальных мест для DOS атаки. Любой вычислительный процесс, будь это запрос к базе данных или сложный алгоритм шифрования, потенциально подверженным DOS атаки. Поэтому максимально используйте технологию кэширования или специальную защиту от таких атак. В продукте "Битрикс: Управление сайтом" для этого есть все необходимые инструменты: во-первых, это автоблокировки агрессивного клиента, реализован в модуле статистики - механизм, который блокирует клиентов, выполнивших максимальное количество допустимых запросов через некоторое время, во-вторых, это механизм кэширования для часто викорустовуемих и ресурсоемких участков кода.

Все вышеприведенные правила должны применяться не только к параметрам, поступающих в GET или POST запросах, но также к любой другой информации, поступающей из компьютера клиента, например cookies или другим параметрам HTTP запроса. Не стоит надеяться на такие переменные как HTTP_USER_AGENT, указывающий браузер посетителя или HTTP_X_FORWARDED_FOR, указывающий реальный IP адрес посетителя, зашедшего через прокси-сервер, - помните, вся эта информация передается в заголовке HTTP запроса и запросто может быть подделана злоумышленником.

Важно помнить, что сайт - это ваше лицо в Интернете, которое увидят миллионы посетителей со всего мира, его безопасность и неуязвимость - это не просто меры предосторожности, это признак вашего профессионализма и надежности.