«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix

Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но вот коллегам из администрирования и бизнеса, я думаю, может быть полезно увидеть, почему хотя бы раз в год надо уделять время проверке и устранению уязвимостей. В СМИ периодически появляется информация об массовых атаках на сайты на базе Bitrix с использованием уязвимостей в сторонних модулях — например, недавно компания предупреждала об уязвимости в подключаемых модулях от eSolutions и «Маяк». Мы в центре мониторинга и реагирования на киберугрозы RED Security SOC тоже регулярно видим такие атаки. В этой статье покажем, как они выглядят in the wild, как их выявлять и блокировать их развитие.

https://habr.com/ru/companies/ru_mts/articles/915298/

#кибербезопасность #bitrix #red_security #информационная_безопасность #1сбитрикс #php #системное_администрирование

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914912/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914908/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

Кастомный сервер конвертации файлов для Битрикс24

Пару слов обо мне Меня зовут Дмитрий, я являюсь PHP разработчиком. Работаю с Битрикс24, Laravel и Go. Проблема Битрикса Как известно, рекомендуемое окружение для Битрикса – их собственная разработка BitrixVM на базе CentOS. Иногда такое окружение не устраивает заказчиков, поэтому выбирают Docker или сервер с установленным LEMP стеком. При переходе на окружение отличное от BitrixVM, существует две основные проблемы – отсутствие сервера очередей Push&Pull и сервера конвертации файлов.

https://habr.com/ru/articles/912446/

#php #bitrix #bitrix24 #битрикс #docker #битрикс24 #go

Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 2

Продолжаем разбираться с основными уязвимостями и тем, как защищать сайты на Битрикс от этих угроз. В предыдущей статье я рассказала о методах защиты от SQL-инъекций и XSS-атак. Сегодня разберём защиту от CSRF- и SSRF-атак.

https://habr.com/ru/companies/bitrix/articles/894234/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям

Привет! Меня зовут Анастасия Соколенко, я отвечаю за безопасную разработку в Битрикс24. Вместе с коллегами мы не только проверяем код, который пишут наши разработчики, но и учим их делать его максимально безопасным. Конечно, большинство разработчиков знакомы с разными уязвимостями веб-приложений, однако не все и не всегда применяют надлежащие методы защиты при написании кода. Существует очень много типов уязвимостей, но я разберу несколько самых распространённых, которые обязательно нужно учитывать при разработке. Сегодня расскажу вам о двух, а еще несколько рассмотрим в следующих частях этой статьи. SQL-инъекции и XSS-атаки входят в топ уязвимостей по мнению экспертов в области ИБ. Лаборатория Касперского ставит их на 4 и 5 места в своем рейтинге. С них мы и начнём.

https://habr.com/ru/companies/bitrix/articles/886090/

#cybersecurity #bitrix #битрикс #безопасность_вебприложений

Делюсь радостным событием: впервые моё приложение (бэкенд - на #Go) вышло в маркете Битрикс24!

https://amgold.ru/blog/bitrix24-anvlink

#bitrix #bitrix24 #golang

Разбираем базу по базам

Всем привет! Сегодня у нас на повестке дня работа с SQL-запросами, базами данных, какие есть варианты и как вообще правильно с ними работать в рамках BitrixFramework . Разберем основы конфигурации, как подключать несколько БД на один проект, делать безопасные запросы и не тревожиться на счет инъекций. Не стоит пугаться AI-шной картинки, внутри материал писала белковая нейронка ;-)

https://habr.com/ru/companies/bitrix/articles/868852/

#bitrix #битрикс #работа_с_базой_данных #orm #программирование_для_начинающих #php #битрикс24

Записки разработчика: airflow->symfony-console->bitrix agents

Всем привет, случалось такое, что вам надо поставить кучу агентов битрикса на крон, а потом сидеть и разбираться - сколько они отрабатывают, отрабатывают ли вообще, когда падают или зависают? Ну конечно случалось. Так вот, чтобы получить визуальное представление о том, что там происходит, было принято решение, вынести агенты даже не на крон, а на apache airflow. Поведаю вам, как это было реализовано. Агенты По факту, агенты - это выполнение php команд по-расписанию. Но мы пойдем дальше и выделим их в отдельную сущность, в классы с расширением Agents.php Создадим интерфейс для агентов

https://habr.com/ru/articles/868042/

#bitrix #airflow #symfony

Синонимы, транслит и магия: Как заставить систему читать мысли пользователя

Поиск сопровождает практически любую информационную систему — будь то интернет-магазин, таск-трекер, CRM или что-либо другое. Заветная иконка поиска присутствует почти везде.

https://habr.com/ru/articles/866980/

#elasticsearch #поисковые_системы #bitrix

Записки разработчика: как подружить D7 свойства и IDE

Приветствую всех неравнодушных! В статье я расскажу, как мы смогли подружить сложные D7 свойства инфоблоков с нашей IDE. Есть в одном проекте такая волшебная штука, как подборы. В них столько свойств, что обычный getList() по 30 записям съедает 6 Гб оперативной памяти, а для оптимизации этого монстра приходится использовать ядро D7. Что же может нам рассказать интернет о том, как правильно обращаться к свойствам инфоблоков, чтобы проект не "ушел отдыхать", обидевшись на всех? 1. Изучим концепцию Нам, как во многих фреймворках, предлагают описать нашу сущность, создать модель и по ней уже баловаться, как пожелаем. Но в нашей сущности получается 570 полей. Одно описание этих полей займет о-о-ой как много времени — не наш вариант.

https://habr.com/ru/articles/865982/

#bitrix #d7 #properties #ide #phpdoc

Вести с полей киберинцидентов: команда расследователей делится итогами проектов 2023-2024

Привет! На связи команда по расследованию и реагированию на инциденты экспертного центра безопасности Positive Technologies. За год мы выполнили около ста проектов по расследованию инцидентов ИБ и ретроспективному анализу в организациях по всему миру. В этом исследовании мы с разных сторон изучили кейсы, над которыми работали в период с IV квартала 2023 по III квартал 2024 года, проанализировали самые интересные техники атак и выделили популярные инструменты злоумышленников. В этой статье мы поделимся основными результатами и ответим на два главных вопроса: как действовали киберпреступники и почему их атаки были успешными. Узнать подробности

https://habr.com/ru/companies/pt/articles/856898/

#cybersecurity #инцеденты #аналитика #apt #mitreatt&ck #bitrix #linux #windows #угрозы

Свой первый модуль для админки битрикс, первое субъективное впечатление

Итак после первых плагинов для ВордПресс и джумла пришла пора сделать что-то похожее в Битрикс. Наш путь познания разных движков для сайтов проходит под идеей принести новый функционал, а именно принятие оплаты по покупателя при самовывозе, то есть это либо наличными либо по банковской карте в момент, когда клиент приходит к вам в офис. И вот так получилось, что свежие мозги прошлись по ВордПрессу, Джумла и теперь взялись за Битрикс. Сразу хочу сказать, что привыкнуть можно к любой CMS, все дело в обстоятельствах и времени. Главное отличие отечественной CMS - оплата вперед Итак не нужные проблемы у Битрикс начинаются уже на этапе установки, разработчики как бы говорят вам - нафига ты сюда лезешь (это наша корова и доить ее будем сами). Имеется ввиду, что так называемая демо версия (на месяц) виснет при установке и до конца ну никак не доходит. Мы сначала подумали, что это потому, что мы устанавливаем на локалхост или потому, что это демо версия, но оказалось впоследствие, что так и должно быть. То есть и при установке демо и при установке нового сайта в рабочем Битриксе установка зависала на разных этапах по непонятным причинам.

https://habr.com/ru/articles/843336/

#bitrix #битрикс #компонент #модуль #самовывоз #оплата #наличные #банковская_карта #админка #заказ

Дайджест Облака Рег.ру за август

Команда Облака Рег.ру работает не покладая рук и не выключая компьютеров! Собрали дайджест: что мы сделали за август. Добавили услугу Kubernetes в облаке (KaaS). Решение позволяет автоматически развертывать, масштабировать и обслуживать контейнерную инфраструктуру. KaaS помогает сократить этап развертывания до 5–10 минут и снизить количество рутинных процессов при обслуживании ИТ-инфраструктуры. В рамках услуги можно создать несколько кластеров и учесть различные конфигурации. Подробно о том, как мы запускали KaaS — в нашей статье . Добавили образ OpenVPN для OpenStack платформы серверов. Он нужен для безопасного доступа к корпоративной инфраструктуре и работы с чувствительными данным. Подключается в несколько шагов, которые мы описали в этом посте . Обновили образ BitrixVM до CentOS Stream 9. Теперь он работает на современной и надежной ОС семейства Linux с датой поддержки до 31 мая 2027 года, а веб-окружение по-прежнему оптимизировано для быстрой работы продуктов 1С-Битрикс. Заказать образ с BitrixVM можно на нашем сайте. Сделали крутой кейс с компанией Ctrl2GO — многопрофильным разработчиком систем прогнозной аналитики. Мы предоставили Ctrl2GO облачную инфраструктуру для размещения данных и работы с Big Data, а также запустили в частном облаке объектное хранилище S3. Экономия превысила треть от исходных затрат заказчика на ИТ-инфраструктуру. Писали об этом в новости . Много чего исправили и доработали , например: усовершенствовали услуги KaaS и DBaaS, поработали над образами, улучшили UX/UI нашей платформы, — и это далеко не полный список.

https://habr.com/ru/companies/runity/articles/840494/

#kubernetes #облака #bitrix #dbaas #kaas

Создание интернет-магазина на компонентах: новый подход для быстрого выхода на рынок екома

В своей работе мы нацелены на то, чтобы экономить время и ресурсы разработки, и как следствие бюджеты клиентов. Поэтому мы создали собственную библиотеку готовых компонентов на Bitrix для модульной разработки типовых интернет-магазинов.

https://habr.com/ru/articles/828434/

#вебразработка #bitrix #bitrix_программирование #интернетмагазин #разработка_сайтов #ecommerce_разработка #ecommerce_ритейл #готовые_решения #ритейл #модульная_разработка

Битрикс: от модулей к сервисам

Приветствую всех неравнодушных! Хочу поделиться с вами историей о том, как мы рефакторили код проекта на Битрикс под DDD архитектуру. Возможно кому-то это будет полезно, а возможно, и сам подчерпну что-то новое для себя.

https://habr.com/ru/articles/824946/

#php_8 #dockercompose #bitrix

Новый комплексный подход к разработке в Bitrix на D7

В данной статье - покажу новый крутой подход к разработке сайтов на bitrix, который обеспечит легкость в поддержке и масштабируемости. Покажу как работать с bitrix cli внутри компонентов, покажу как писать тесты и browserlist, чтобы наш CSS и JS собирался согласно browserlist. Покажу как возвращать через ajax именно компоненты Bitrix с их стилями и скриптами. И напишем простой компонент на примере этого подхода.

https://habr.com/ru/articles/815439/

#Bitrix #ООП_Компоненты #JavaScript #bitrix_cli #Bitrix_D7 #frontendразработка #backendразработка #новый_подход #best_practices #mvc

Frontend внутри Bitrix. Использование и написание экстеншенов + SPA приложение на Vue или React

В данной статье мы рассмотрим правильный подход к Frontend разработки в Bitrix. А именно разделение на расширения которые сможем подключать в любой момент времени. + напишем SPA приложение на React.

https://habr.com/ru/articles/810581/

#bitrix #react #frontend #bitrix_cli #vue

Почему FilamentPHP — это хорошее решение для создания CMS

Привет, Хабр! Меня зовут Егор Черненок, я работаю PHP-разработчиком в AGIMA . В этой статье расскажу вам о FilamentPHP. В документации говорится , что это набор красивых Fullstack-компонентов для Laravel. От себя добавлю, что он отлично подходит для построения CMS. А теперь подробно объясню, почему это так.

https://habr.com/ru/companies/agima/articles/808811/

#php #filamentPHP #cms #laravel #fullstack #tailwind #bootstrap #bitrix