• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

О мошеннических схемах использования open redirect в 1С-Битрикс

Существует актуальная угроза для информационных ресурсов Российской Федерации, функционирующих с использованием платформы для управления сайтами «1С-Битрикс».

672846

Существует актуальная угроза для информационных ресурсов Российской Федерации, функционирующих с использованием платформы для управления сайтами «1С-Битрикс».

В платформе «1С-Битрикс» содержится встроенная функции автоматического перенаправления пользователей с одного URL-адреса на другой. Она используется в случае изменения URL-адресов страниц сайта либо в маркетинговых целях. По умолчанию указанная функция позволяет перенаправлять пользователя на любой сторонний ресурс без его уведомления об этом. Это происходит путём добавления к URL-адресу сайта атрибута «goto» и URL-адреса стороннего ресурса.

Примеры использования функции перенаправления путём дополнения ссылки атрибутом «goto»:

https://целевой_сайт/bitrix/redirect.php?goto=http://сторонний_сайт/
https://целевой_сайт/bitrix/rk.php?goto=http://сторонний_сайт/

Злоумышленники могут воспользоваться этим механизмом в целях перенаправления пользователей на мошеннические сайты, сформировав фишинговую ссылку и направив её пользователю сообщением (в электронной почте, мессенджерах или социальных сетях) или внедрив такую ссылку в рекламный баннер на сайте. При клике по такой ссылке пользователь сначала переходит на целевой сайт, после чего автоматически перенаправляется на сторонний сайт. Подобная схема получила название «открытое перенаправление» (open redirect).

По умолчанию в платформе «1С-Битрикс» параметр, отвечающий за проверку конечного адреса перенаправления, выключен. Разработчики платформы «1С-Битрикс» в целях защиты от мошеннической схемы рекомендуют включить в настройках функцию «Защита редиректов от фишинга». Данная функция присутствует во всех версиях модуля «Проактивной защиты», начиная с версии 8.0.3. При активации этой функции пользователь, кликнувший по ссылке, попадает на целевой сайт, где отображается уведомление о том, что он будет перенаправлен на сторонний ресурс.


Пример активации функции защиты редиректов от фишинга

В случае если функционал перенаправления не используется целевым сайтом, разработчики платформы рекомендуют удалить служебные файлы «redirect.php» и «rk.php», которые отвечают за перенаправление пользователей. Такое решение сделает невозможным сбор статистики переходов пользователей на сторонние ресурсы.
НКЦКИ предупреждает об уязвимости «нулевого дня» в Apache Log4j Apple устранила уязвимости в своих продуктах