Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

1С-Бітрікс - Безпека

  1. 1С-Бітрікс - Безпека проактивний захист проактивний захист
  2. Проактивний фільтр (Web Application Firewall)
  3. Інструмент для аудиту безпеки PHP-коду
  4. Панель безпеки з рівнями захищеності
  5. Веб-антивірус
  6. Журнал вторгнень
  7. одноразові паролі
  8. Персональний генератор одноразових паролів для порталу (OTP)
  9. Контроль цілісності файлів
  10. Перевірка цілісності скрипта контролю
  11. Безпечна авторизація без SSL
  12. Захист адміністративного розділу
  13. захист сесій
  14. контроль активності
  15. стоп лист
  16. Внутрішній аудит
  17. зовнішній аудит
  18. Чому потрібно захищатися
  19. Уразливості веб-додатків
  20. 1С-Бітрікс - Безпека
  21. проактивний захист
  22. Проактивний фільтр (Web Application Firewall)
  23. Інструмент для аудиту безпеки PHP-коду
  24. Панель безпеки з рівнями захищеності
  25. Веб-антивірус
  26. Журнал вторгнень
  27. одноразові паролі
  28. Персональний генератор одноразових паролів для порталу (OTP)
  29. Контроль цілісності файлів
  30. Перевірка цілісності скрипта контролю
  31. Безпечна авторизація без SSL
  32. Захист адміністративного розділу
  33. захист сесій
  34. контроль активності
  35. стоп лист
  36. Внутрішній аудит
  37. зовнішній аудит
  38. Чому потрібно захищатися
  39. Уразливості веб-додатків
  40. 1С-Бітрікс - Безпека
  41. проактивний захист
  42. Проактивний фільтр (Web Application Firewall)
  43. Інструмент для аудиту безпеки PHP-коду
  44. Панель безпеки з рівнями захищеності
  45. Веб-антивірус
  46. Журнал вторгнень
  47. одноразові паролі
  48. Персональний генератор одноразових паролів для порталу (OTP)
  49. Контроль цілісності файлів
  50. Перевірка цілісності скрипта контролю
  51. Безпечна авторизація без SSL
  52. Захист адміністративного розділу
  53. захист сесій
  54. контроль активності
  55. стоп лист
  56. Внутрішній аудит
  57. зовнішній аудит
  58. Чому потрібно захищатися
  59. Уразливості веб-додатків

1С-Бітрікс - Безпека

проактивний захист

проактивний захист

Якщо Портал розміщений на зовнішньому хостингу, або у співробітників є доступ в Інтернет, необхідно забезпечити захист від більшості відомих атак на веб-додатки. Для цього в нову версію продукту включено модуль «Проактивний захист», який дозволяє підвищити рівень захищеності Порталу завдяки вбудованому в продукт проактивного фільтру (Web Application Firewall). Нова версія продукту сертифікована компанією Positive Technologies - лідером ринку інформаційної безпеки. Після проведеного аудиту продукту виданий сертифікат «Захищене веб-додаток».

Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки і дозволяють значно розширити поняття захищеності і реакції веб-додатків на загрози.
Комплекс із захисту веб-додатків, включений в модуль:

Проактивний фільтр (Web Application Firewall)

Проактивний фільтр ( WAF - Web Application Firewal ) Забезпечує захист від більшості відомих атак на веб-додатки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтранет-проекту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра засноване на аналізі і фільтрації всіх даних, що надходять від користувачів через змінні і куки.
* Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло і викликати помилкове спрацьовування фільтра.

Інструмент для аудиту безпеки PHP-коду

Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» вузькі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатацію вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді і підсилює захист сайту від злому.

Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем).

Система перевірки «Монітор якості» також працює в каталозі веб-додатків для сайтів та корпоративних порталів «1С-Бітрікс: Маркетплейс» .

Панель безпеки з рівнями захищеності

Будь-який проект, що працює під управлінням продуктів від «1С-Бітрікс», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного інтранет-проекту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

Веб-антивірус

Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-додатки на веб-загрози.
«Веб-антивірус» перешкоджає імплантування шкідливого коду безпосередньо в веб-додатки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи. Детальніше

Журнал вторгнень

У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

одноразові паролі

Для забезпечення безпеки доступу до Порталу віддалених співробітників в новій версії реалізована технологія одноразових паролів (One Time Password - OTP) на базі електронних ключів Aladdin eToken PASS для забезпечення аутентифікації користувача при доступі на Портал. Нова технологія протестована компанією Aladdin - лідируючий розробник засобів захисту інформації. На підставі тестування виданий сертифікат сумісності eToken PASS з «1С-Бітрікс: Корпоративний портал 8.0».

сертифікат сумісності


Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі. Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі Однак особливо рекомендується задіяти систему одноразових паролів адміністраторам порталів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори».
система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтранет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS ) Або відповідне програмне забезпечення, що реалізує OTP .
Що вам дає така технологія? Однозначну впевненість, що на Порталі авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає будь-який сенс, тому що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелка не зможе передати пароль іншій людині, продовжуючи користуватися входом на Портал.

Персональний генератор одноразових паролів для порталу (OTP)

За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для свого облікового запису. Це реалізує OTP програмне забезпечення, розроблене компанією «1С-Бітрікс», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

Встановити Bitrix OTP ви можете безпосередньо з вашого сайту, що працює на «1С-Бітрікс: Управління сайтом» 10.0 і вище. Для цього достатньо перейти в браузері мобільного пристрою за адресою http: // <ваш_сайт> / bitrix / otp / і слідувати інструкціям на екрані. Безкоштовна установка Bitrix OTP також можлива з онлайн-магазину додатків.

Додаток Bitrix OTP для Android

Встановіть додаток від «1С-Бітрікс» на ваш мобільний телефон і генеруйте одноразові паролі для входу на портал, що підтримує авторизацію по OTP. Додаток підтримує роботу з декількома порталами одночасно.

Ви можете включити на мобільному сайті підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів. Особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори». Для цього достатньо створити в генераторі паролів новий сайт, який підтримує авторизацію по ОТП, і потім кожен раз, при вході на цей сайт, отримувати для нього одноразовий пароль. Генератор дозволяє створити безліч записів для таких сайтів, і потрібний сайт ви зможете вибрати зі списку. Детальніше

Контроль цілісності файлів

Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічній частині продукту.

Перевірка цілісності скрипта контролю

Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта потрібно буде ввести в форму довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове) слово (відмінне від пароля), і натиснути на кнопку «Встановити новий ключ».

Безпечна авторизація без SSL

За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються по алгоритму RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу. Детальніше

  • безпечна аутентифікація з шифруванням пароля дозволяє уникнути передачі пароля у відкритому вигляді без SSL;
  • всі інструменти, які використовувалися раніше для авторизації, продовжать працювати.

Захист адміністративного розділу

Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється співробітникам адмініструвати Портал. Перед вами простий спеціальний інтерфейс, в якому все це і робиться - задається список або діапазони IP адрес, з яких якраз і дозволяється управління Порталом. Не бійтеся закрити собі доступ в момент установки блокування - цей момент перевіряється системою.
Який ефект від використання даного захисту? Будь-які XSS / CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

захист сесій

Більшість атак на веб-додатки мають на меті отримати дані про авторизованої сесії користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? На додаток до стандартних інструментів захисту сесій, які встановлюються в настройках групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.
Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших проектів на тому ж сервері, виключивши помилки конфігурації віртуального хостингу, помилки настройки прав доступу в тимчасових каталогах і ряд інших проблем настройки операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

контроль активності

Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору паролів перебором. В налаштуваннях можна встановити максимальну активність користувачів для вашого Порталу (наприклад, число запитів в секунду, які може виконати користувач).
* Контроль активності користувачів ведеться на основі засобів модуля Веб-аналітика і, отже, доступний тільки в тих редакція продукту, в які входить цей модуль.

стоп лист

Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту Порталу і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на Портал з IP адресами, включеними в стоп-лист, будуть блоковані.
* Починаючи з версії 8.0, модуль «Проактивний захист» за замовчуванням включений в продукт «Бітрікс24» в коробці ». Всі поточні клієнти (у яких активні оновлення і техпідтримка) безкоштовно завантажать і встановлять цей модуль за технологією SiteUpdate, і модуль автоматично виставить в проекті параметри, що відповідають рівню безпеки «Стандартний».
Встановіть додаткові веб-додатки з Маркетплейса для розширення можливостей комплексу «Проактивний захист».

аудит

Внутрішній аудит

Наш внутрішній відділ інформаційної безпеки виробляє постійний моніторинг нового програмного коду, що генерується розробниками. Він полягає в моделюванні загроз безпеки, різних класах атак, спробах реалізації технічного злому порталу різними прийомами і експериментами.

Це копітка і складна робота, що вимагає чудової знання нашої програмної платформи, роботи браузерів і веб-серверів, PHP і різних СУБД. Дані фахівці не беруть участі в розробці функціоналу, оскільки на практиці практично неможливо одночасно розробляти функціонал і врахувати всі нюанси надійності програмного коду до злому.

Це окремий технологічний цикл, і ми вважаємо його обов'язковим для загального процесу розробки.

Хоч як би був затребуваний новий функціонал, як би не хотілося його швидше випустити і надати нашим клієнтам і партнерам, остаточне рішення щодо включення його в систему оновлень дають фахівці з безпеки.

зовнішній аудит

Незважаючи на те, що компанія «1С-Бітрікс» приділяє важливе значення питань безпеки в програмному продукті і безпечної розробки веб-додатків, для забезпечення нового рівня захищеності і надання більшої впевненості для клієнтів було вирішено провести незалежний аудит захищеності наших продуктів.

Для виконання аудиту інформаційної безпеки було вирішено залучити найбільш відому в Росії компанію в області веб-безпеки, розробника програмного продукту XSpider , Власника самого популярного ресурсу з безпеки російською мовою www.securitylab.ru - компанію Positive Technologies .

Компанія Positive Technologies провела повномасштабне тестування платформи Бітрікс.Framework, на якій реалізовані продукти «1С-Бітрікс: Управління сайтом» і «Бітрікс24» в коробці », маючи в своєму розпорядженні вихідними текстами продукту і консультаційною підтримкою технічних фахівців компанії« Бітрікс ».

загрози

Чому потрібно захищатися

Якщо внутрішньокорпоративний портал доступний для перегляду тільки з внутрішньої мережі організації (за брендмауерів), то, безумовно, він менш вразливий для атак ззовні, ніж корпоративний сайт.
Але всередині компанії існує набагато більше істотна проблема - можливі інсайдери. Недобросовісні ненадійні співробітники можуть скористатися уразливими в програмному забезпеченні порталу та отримати секретні відомості, порушити цілісність документів, або викликати відмову в обслуговуванні.
На порталі може лежати важлива інформація, починаючи від фінансової звітності компанії до особистого листування між директорами підрозділів та обговорення організаційних питань. Не можна допустити, щоб хтось отримав до неї несанкціонований доступ.
Крім цього, часто мережу налаштовують так, що в ряді випадків портал може бути доступний і ззовні компанії, наприклад, для роботи співробітників у відрядженнях або позаштатних співробітників. У цьому випадку вимоги щодо захисту порталу істотно зростають і справедливі всі рекомендації щодо захисту традиційного веб-сайту .

Уразливості веб-додатків

Існує цілий клас вразливостей, до яких схильні веб-додатки. Але дуже часто проблеми інформаційної безпеки залишаються за рамками бюджету або взагалі не фігурують в етапах розробки.

цікавий матеріал на цю тему опубліковано Олексієм Лукацький, керівником відділу Інтернет-рішень компанії «Інформзахист» (в даний час менеджер з розвитку бізнесу Cisco Systems) в журналі BYTE Росія:

«Автор пройшовся по Web-сайтів деяких, в тому числі і іменитих студій, що пропонують свої (недешеві, зауважимо) послуги зі створення сайтів, і що ж? Жодна з них не згадала в своїх "портфоліо" поняття "захищений сайт". І в типових договорах немає ні слова про захист ...

Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ? На жаль, доводиться визнати, що швидше за все перше. Спробую проілюструвати цю тезу, спираючись на особистий досвід участі в ряді інтернет-проектів ... »

Повний текст статті опублікований в розділі «Захищений сайт» .

Перерахуємо деякі з найбільш часто зустрічаються проблем:

  • Cross Site Scripting
  • SQL- injection
  • PHP- injection
  • HTTP Response Splitting
  • HTML code injection
  • File Inclusion
  • Directory traversal і деякі інші.

Перераховані типи вразливостей можуть зустрічатися у всіх веб-додатках, незалежно від того, розроблені вони одним фахівцем або відомою компанією. Тільки системне проектування, продумування питань безпеки на всіх етапах розробки і детальне тестування готового додатка можуть дозволити виключити появи вразливостей.

Детальніше


1С-Бітрікс - Безпека

проактивний захист

проактивний захист

Якщо Портал розміщений на зовнішньому хостингу, або у співробітників є доступ в Інтернет, необхідно забезпечити захист від більшості відомих атак на веб-додатки. Для цього в нову версію продукту включено модуль «Проактивний захист», який дозволяє підвищити рівень захищеності Порталу завдяки вбудованому в продукт проактивного фільтру (Web Application Firewall). Нова версія продукту сертифікована компанією Positive Technologies - лідером ринку інформаційної безпеки. Після проведеного аудиту продукту виданий сертифікат «Захищене веб-додаток».

Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки і дозволяють значно розширити поняття захищеності і реакції веб-додатків на загрози.
Комплекс із захисту веб-додатків, включений в модуль:

Проактивний фільтр (Web Application Firewall)

Проактивний фільтр ( WAF - Web Application Firewal ) Забезпечує захист від більшості відомих атак на веб-додатки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтранет-проекту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра засноване на аналізі і фільтрації всіх даних, що надходять від користувачів через змінні і куки.
* Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло і викликати помилкове спрацьовування фільтра.

Інструмент для аудиту безпеки PHP-коду

Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» вузькі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатацію вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді і підсилює захист сайту від злому.

Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем).

Система перевірки «Монітор якості» також працює в каталозі веб-додатків для сайтів та корпоративних порталів «1С-Бітрікс: Маркетплейс» .

Панель безпеки з рівнями захищеності

Будь-який проект, що працює під управлінням продуктів від «1С-Бітрікс», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного інтранет-проекту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

Веб-антивірус

Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-додатки на веб-загрози.
«Веб-антивірус» перешкоджає імплантування шкідливого коду безпосередньо в веб-додатки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи. Докладніше

Журнал вторгнень

У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

одноразові паролі

Для забезпечення безпеки доступу до Порталу віддалених співробітників в новій версії реалізована технологія одноразових паролів (One Time Password - OTP) на базі електронних ключів Aladdin eToken PASS для забезпечення аутентифікації користувача при доступі на Портал. Нова технологія протестована компанією Aladdin - лідируючий розробник засобів захисту інформації. На підставі тестування виданий сертифікат сумісності eToken PASS з «1С-Бітрікс: Корпоративний портал 8.0».

сертифікат сумісності


Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі. Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі Однак особливо рекомендується задіяти систему одноразових паролів адміністраторам порталів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори».
система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтранет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS ) Або відповідне програмне забезпечення, що реалізує OTP .
Що вам дає така технологія? Однозначну впевненість, що на Порталі авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає будь-який сенс, тому що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелка не зможе передати пароль іншій людині, продовжуючи користуватися входом на Портал.

Персональний генератор одноразових паролів для порталу (OTP)

За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для свого облікового запису. Це реалізує OTP програмне забезпечення, розроблене компанією «1С-Бітрікс», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

Встановити Bitrix OTP ви можете безпосередньо з вашого сайту, що працює на «1С-Бітрікс: Управління сайтом» 10.0 і вище. Для цього достатньо перейти в браузері мобільного пристрою за адресою http: // <ваш_сайт> / bitrix / otp / і слідувати інструкціям на екрані. Безкоштовна установка Bitrix OTP також можлива з онлайн-магазину додатків.

Додаток Bitrix OTP для Android

Встановіть додаток від «1С-Бітрікс» на ваш мобільний телефон і генеруйте одноразові паролі для входу на портал, що підтримує авторизацію по OTP. Додаток підтримує роботу з декількома порталами одночасно.

Ви можете включити на мобільному сайті підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів. Особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори». Для цього достатньо створити в генераторі паролів новий сайт, який підтримує авторизацію по ОТП, і потім кожен раз, при вході на цей сайт, отримувати для нього одноразовий пароль. Генератор дозволяє створити безліч записів для таких сайтів, і потрібний сайт ви зможете вибрати зі списку. Докладніше

Контроль цілісності файлів

Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічній частині продукту.

Перевірка цілісності скрипта контролю

Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта потрібно буде ввести в форму довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове) слово (відмінне від пароля), і натиснути на кнопку «Встановити новий ключ».

Безпечна авторизація без SSL

За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються по алгоритму RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу. Докладніше

  • безпечна аутентифікація з шифруванням пароля дозволяє уникнути передачі пароля у відкритому вигляді без SSL;
  • всі інструменти, які використовувалися раніше для авторизації, продовжать працювати.

Захист адміністративного розділу

Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється співробітникам адмініструвати Портал. Перед вами простий спеціальний інтерфейс, в якому все це і робиться - задається список або діапазони IP адрес, з яких якраз і дозволяється управління Порталом. Не бійтеся закрити собі доступ в момент установки блокування - цей момент перевіряється системою.
Який ефект від використання даного захисту? Будь-які XSS / CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

захист сесій

Більшість атак на веб-додатки мають на меті отримати дані про авторизованої сесії користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? На додаток до стандартних інструментів захисту сесій, які встановлюються в настройках групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.
Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших проектів на тому ж сервері, виключивши помилки конфігурації віртуального хостингу, помилки настройки прав доступу в тимчасових каталогах і ряд інших проблем настройки операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

контроль активності

Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору паролів перебором. В налаштуваннях можна встановити максимальну активність користувачів для вашого Порталу (наприклад, число запитів в секунду, які може виконати користувач).
* Контроль активності користувачів ведеться на основі засобів модуля Веб-аналітика і, отже, доступний тільки в тих редакція продукту, в які входить цей модуль.

стоп лист

Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту Порталу і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на Портал з IP адресами, включеними в стоп-лист, будуть блоковані.
* Починаючи з версії 8.0, модуль «Проактивний захист» за замовчуванням включений в продукт «Бітрікс24» в коробці ». Всі поточні клієнти (у яких активні оновлення і техпідтримка) безкоштовно завантажать і встановлять цей модуль за технологією SiteUpdate, і модуль автоматично виставить в проекті параметри, що відповідають рівню безпеки «Стандартний».
Встановіть додаткові веб-додатки з Маркетплейса для розширення можливостей комплексу «Проактивний захист».

аудит

Внутрішній аудит

Наш внутрішній відділ інформаційної безпеки виробляє постійний моніторинг нового програмного коду, що генерується розробниками. Він полягає в моделюванні загроз безпеки, різних класах атак, спробах реалізації технічного злому порталу різними прийомами і експериментами.

Це копітка і складна робота, що вимагає чудової знання нашої програмної платформи, роботи браузерів і веб-серверів, PHP і різних СУБД. Дані фахівці не беруть участі в розробці функціоналу, оскільки на практиці практично неможливо одночасно розробляти функціонал і врахувати всі нюанси надійності програмного коду до злому.

Це окремий технологічний цикл, і ми вважаємо його обов'язковим для загального процесу розробки.

Хоч як би був затребуваний новий функціонал, як би не хотілося його швидше випустити і надати нашим клієнтам і партнерам, остаточне рішення щодо включення його в систему оновлень дають фахівці з безпеки.

зовнішній аудит

Незважаючи на те, що компанія «1С-Бітрікс» приділяє важливе значення питань безпеки в програмному продукті і безпечної розробки веб-додатків, для забезпечення нового рівня захищеності і надання більшої впевненості для клієнтів було вирішено провести незалежний аудит захищеності наших продуктів.

Для виконання аудиту інформаційної безпеки було вирішено залучити найбільш відому в Росії компанію в області веб-безпеки, розробника програмного продукту XSpider , Власника самого популярного ресурсу з безпеки російською мовою www.securitylab.ru - компанію Positive Technologies .

Компанія Positive Technologies провела повномасштабне тестування платформи Бітрікс.Framework, на якій реалізовані продукти «1С-Бітрікс: Управління сайтом» і «Бітрікс24» в коробці », маючи в своєму розпорядженні вихідними текстами продукту і консультаційною підтримкою технічних фахівців компанії« Бітрікс ».

загрози

Чому потрібно захищатися

Якщо внутрішньокорпоративний портал доступний для перегляду тільки з внутрішньої мережі організації (за брендмауерів), то, безумовно, він менш вразливий для атак ззовні, ніж корпоративний сайт.
Але всередині компанії існує набагато більше істотна проблема - можливі інсайдери. Недобросовісні ненадійні співробітники можуть скористатися уразливими в програмному забезпеченні порталу та отримати секретні відомості, порушити цілісність документів, або викликати відмову в обслуговуванні.
На порталі може лежати важлива інформація, починаючи від фінансової звітності компанії до особистого листування між директорами підрозділів та обговорення організаційних питань. Не можна допустити, щоб хтось отримав до неї несанкціонований доступ.
Крім цього, часто мережу налаштовують так, що в ряді випадків портал може бути доступний і ззовні компанії, наприклад, для роботи співробітників у відрядженнях або позаштатних співробітників. У цьому випадку вимоги щодо захисту порталу істотно зростають і справедливі всі рекомендації щодо захисту традиційного веб-сайту .

Уразливості веб-додатків

Існує цілий клас вразливостей, до яких схильні веб-додатки. Але дуже часто проблеми інформаційної безпеки залишаються за рамками бюджету або взагалі не фігурують в етапах розробки.

цікавий матеріал на цю тему опубліковано Олексієм Лукацький, керівником відділу Інтернет-рішень компанії «Інформзахист» (в даний час менеджер з розвитку бізнесу Cisco Systems) в журналі BYTE Росія:

«Автор пройшовся по Web-сайтів деяких, в тому числі і іменитих студій, що пропонують свої (недешеві, зауважимо) послуги зі створення сайтів, і що ж? Жодна з них не згадала в своїх "портфоліо" поняття "захищений сайт". І в типових договорах немає ні слова про захист ...

Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ? На жаль, доводиться визнати, що швидше за все перше. Спробую проілюструвати цю тезу, спираючись на особистий досвід участі в ряді інтернет-проектів ... »

Повний текст статті опублікований в розділі «Захищений сайт» .

Перерахуємо деякі з найбільш часто зустрічаються проблем:

  • Cross Site Scripting
  • SQL- injection
  • PHP- injection
  • HTTP Response Splitting
  • HTML code injection
  • File Inclusion
  • Directory traversal і деякі інші.

Перераховані типи вразливостей можуть зустрічатися у всіх веб-додатках, незалежно від того, розроблені вони одним фахівцем або відомою компанією. Тільки системне проектування, продумування питань безпеки на всіх етапах розробки і детальне тестування готового додатка можуть дозволити виключити появи вразливостей.

Докладніше


1С-Бітрікс - Безпека

проактивний захист

проактивний захист

Якщо Портал розміщений на зовнішньому хостингу, або у співробітників є доступ в Інтернет, необхідно забезпечити захист від більшості відомих атак на веб-додатки. Для цього в нову версію продукту включено модуль «Проактивний захист», який дозволяє підвищити рівень захищеності Порталу завдяки вбудованому в продукт проактивного фільтру (Web Application Firewall). Нова версія продукту сертифікована компанією Positive Technologies - лідером ринку інформаційної безпеки. Після проведеного аудиту продукту виданий сертифікат «Захищене веб-додаток».

Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки і дозволяють значно розширити поняття захищеності і реакції веб-додатків на загрози.
Комплекс із захисту веб-додатків, включений в модуль:

Проактивний фільтр (Web Application Firewall)

Проактивний фільтр ( WAF - Web Application Firewal ) Забезпечує захист від більшості відомих атак на веб-додатки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтранет-проекту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра засноване на аналізі і фільтрації всіх даних, що надходять від користувачів через змінні і куки.
* Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло і викликати помилкове спрацьовування фільтра.

Інструмент для аудиту безпеки PHP-коду

Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» вузькі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатацію вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді і підсилює захист сайту від злому.

Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем).

Система перевірки «Монітор якості» також працює в каталозі веб-додатків для сайтів та корпоративних порталів «1С-Бітрікс: Маркетплейс» .

Панель безпеки з рівнями захищеності

Будь-який проект, що працює під управлінням продуктів від «1С-Бітрікс», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного інтранет-проекту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

Веб-антивірус

Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом Веб-антивірус вбудований безпосередньо в сам продукт - систему управління порталом. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-додатки на веб-загрози.
«Веб-антивірус» перешкоджає імплантування шкідливого коду безпосередньо в веб-додатки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи. Докладніше

Журнал вторгнень

У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

одноразові паролі

Для забезпечення безпеки доступу до Порталу віддалених співробітників в новій версії реалізована технологія одноразових паролів (One Time Password - OTP) на базі електронних ключів Aladdin eToken PASS для забезпечення аутентифікації користувача при доступі на Портал. Нова технологія протестована компанією Aladdin - лідируючий розробник засобів захисту інформації. На підставі тестування виданий сертифікат сумісності eToken PASS з «1С-Бітрікс: Корпоративний портал 8.0».

сертифікат сумісності


Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі. Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на Порталі Однак особливо рекомендується задіяти систему одноразових паролів адміністраторам порталів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори».
система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтранет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS ) Або відповідне програмне забезпечення, що реалізує OTP .
Що вам дає така технологія? Однозначну впевненість, що на Порталі авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає будь-який сенс, тому що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелка не зможе передати пароль іншій людині, продовжуючи користуватися входом на Портал.

Персональний генератор одноразових паролів для порталу (OTP)

За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для свого облікового запису. Це реалізує OTP програмне забезпечення, розроблене компанією «1С-Бітрікс», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

Встановити Bitrix OTP ви можете безпосередньо з вашого сайту, що працює на «1С-Бітрікс: Управління сайтом» 10.0 і вище. Для цього достатньо перейти в браузері мобільного пристрою за адресою http: // <ваш_сайт> / bitrix / otp / і слідувати інструкціям на екрані. Безкоштовна установка Bitrix OTP також можлива з онлайн-магазину додатків.

Додаток Bitrix OTP для Android

Встановіть додаток від «1С-Бітрікс» на ваш мобільний телефон і генеруйте одноразові паролі для входу на портал, що підтримує авторизацію по OTP. Додаток підтримує роботу з декількома порталами одночасно.

Ви можете включити на мобільному сайті підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів. Особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори». Для цього достатньо створити в генераторі паролів новий сайт, який підтримує авторизацію по ОТП, і потім кожен раз, при вході на цей сайт, отримувати для нього одноразовий пароль. Генератор дозволяє створити безліч записів для таких сайтів, і потрібний сайт ви зможете вибрати зі списку. Докладніше

Контроль цілісності файлів

Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічній частині продукту.

Перевірка цілісності скрипта контролю

Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта потрібно буде ввести в форму довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове) слово (відмінне від пароля), і натиснути на кнопку «Встановити новий ключ».

Безпечна авторизація без SSL

За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються по алгоритму RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу. Докладніше

  • безпечна аутентифікація з шифруванням пароля дозволяє уникнути передачі пароля у відкритому вигляді без SSL;
  • всі інструменти, які використовувалися раніше для авторизації, продовжать працювати.

Захист адміністративного розділу

Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється співробітникам адмініструвати Портал. Перед вами простий спеціальний інтерфейс, в якому все це і робиться - задається список або діапазони IP адрес, з яких якраз і дозволяється управління Порталом. Не бійтеся закрити собі доступ в момент установки блокування - цей момент перевіряється системою.
Який ефект від використання даного захисту? Будь-які XSS / CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

захист сесій

Більшість атак на веб-додатки мають на меті отримати дані про авторизованої сесії користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? На додаток до стандартних інструментів захисту сесій, які встановлюються в настройках групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.
Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших проектів на тому ж сервері, виключивши помилки конфігурації віртуального хостингу, помилки настройки прав доступу в тимчасових каталогах і ряд інших проблем настройки операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

контроль активності

Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору паролів перебором. В налаштуваннях можна встановити максимальну активність користувачів для вашого Порталу (наприклад, число запитів в секунду, які може виконати користувач).
* Контроль активності користувачів ведеться на основі засобів модуля Веб-аналітика і, отже, доступний тільки в тих редакція продукту, в які входить цей модуль.

стоп лист

Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту Порталу і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на Портал з IP адресами, включеними в стоп-лист, будуть блоковані.
* Починаючи з версії 8.0, модуль «Проактивний захист» за замовчуванням включений в продукт «Бітрікс24» в коробці ». Всі поточні клієнти (у яких активні оновлення і техпідтримка) безкоштовно завантажать і встановлять цей модуль за технологією SiteUpdate, і модуль автоматично виставить в проекті параметри, що відповідають рівню безпеки «Стандартний».
Встановіть додаткові веб-додатки з Маркетплейса для розширення можливостей комплексу «Проактивний захист».

аудит

Внутрішній аудит

Наш внутрішній відділ інформаційної безпеки виробляє постійний моніторинг нового програмного коду, що генерується розробниками. Він полягає в моделюванні загроз безпеки, різних класах атак, спробах реалізації технічного злому порталу різними прийомами і експериментами.

Це копітка і складна робота, що вимагає чудової знання нашої програмної платформи, роботи браузерів і веб-серверів, PHP і різних СУБД. Дані фахівці не беруть участі в розробці функціоналу, оскільки на практиці практично неможливо одночасно розробляти функціонал і врахувати всі нюанси надійності програмного коду до злому.

Це окремий технологічний цикл, і ми вважаємо його обов'язковим для загального процесу розробки.

Хоч як би був затребуваний новий функціонал, як би не хотілося його швидше випустити і надати нашим клієнтам і партнерам, остаточне рішення щодо включення його в систему оновлень дають фахівці з безпеки.

зовнішній аудит

Незважаючи на те, що компанія «1С-Бітрікс» приділяє важливе значення питань безпеки в програмному продукті і безпечної розробки веб-додатків, для забезпечення нового рівня захищеності і надання більшої впевненості для клієнтів було вирішено провести незалежний аудит захищеності наших продуктів.

Для виконання аудиту інформаційної безпеки було вирішено залучити найбільш відому в Росії компанію в області веб-безпеки, розробника програмного продукту XSpider , Власника самого популярного ресурсу з безпеки російською мовою www.securitylab.ru - компанію Positive Technologies .

Компанія Positive Technologies провела повномасштабне тестування платформи Бітрікс.Framework, на якій реалізовані продукти «1С-Бітрікс: Управління сайтом» і «Бітрікс24» в коробці », маючи в своєму розпорядженні вихідними текстами продукту і консультаційною підтримкою технічних фахівців компанії« Бітрікс ».

загрози

Чому потрібно захищатися

Якщо внутрішньокорпоративний портал доступний для перегляду тільки з внутрішньої мережі організації (за брендмауерів), то, безумовно, він менш вразливий для атак ззовні, ніж корпоративний сайт.
Але всередині компанії існує набагато більше істотна проблема - можливі інсайдери. Недобросовісні ненадійні співробітники можуть скористатися уразливими в програмному забезпеченні порталу та отримати секретні відомості, порушити цілісність документів, або викликати відмову в обслуговуванні.
На порталі може лежати важлива інформація, починаючи від фінансової звітності компанії до особистого листування між директорами підрозділів та обговорення організаційних питань. Не можна допустити, щоб хтось отримав до неї несанкціонований доступ.
Крім цього, часто мережу налаштовують так, що в ряді випадків портал може бути доступний і ззовні компанії, наприклад, для роботи співробітників у відрядженнях або позаштатних співробітників. У цьому випадку вимоги щодо захисту порталу істотно зростають і справедливі всі рекомендації щодо захисту традиційного веб-сайту .

Уразливості веб-додатків

Існує цілий клас вразливостей, до яких схильні веб-додатки. Але дуже часто проблеми інформаційної безпеки залишаються за рамками бюджету або взагалі не фігурують в етапах розробки.

цікавий матеріал на цю тему опубліковано Олексієм Лукацький, керівником відділу Інтернет-рішень компанії «Інформзахист» (в даний час менеджер з розвитку бізнесу Cisco Systems) в журналі BYTE Росія:

«Автор пройшовся по Web-сайтів деяких, в тому числі і іменитих студій, що пропонують свої (недешеві, зауважимо) послуги зі створення сайтів, і що ж? Жодна з них не згадала в своїх "портфоліо" поняття "захищений сайт". І в типових договорах немає ні слова про захист ...

Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ? На жаль, доводиться визнати, що швидше за все перше. Спробую проілюструвати цю тезу, спираючись на особистий досвід участі в ряді інтернет-проектів ... »

Повний текст статті опублікований в розділі «Захищений сайт» .

Перерахуємо деякі з найбільш часто зустрічаються проблем:

  • Cross Site Scripting
  • SQL- injection
  • PHP- injection
  • HTTP Response Splitting
  • HTML code injection
  • File Inclusion
  • Directory traversal і деякі інші.

Перераховані типи вразливостей можуть зустрічатися у всіх веб-додатках, незалежно від того, розроблені вони одним фахівцем або відомою компанією. Тільки системне проектування, продумування питань безпеки на всіх етапах розробки і детальне тестування готового додатка можуть дозволити виключити появи вразливостей.

Докладніше


Що вам дає така технологія?
Який ефект від використання даного захисту?
Які інструменти використовує цей захисний механізм?
Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ?
Що вам дає така технологія?
Який ефект від використання даного захисту?
Які інструменти використовує цей захисний механізм?
Що це - некомпетентність або усвідомлене небажання вплутуватися в невідому, а значить, що таїть безліч сюрпризів область ІТ?
Що вам дає така технологія?
Який ефект від використання даного захисту?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: