Программный продукт «Битрикс: Управление сайтом 4.0» прошел проверку на устойчивость к хакерским атакам
Растущее число атак, которым подвергаются все без исключения сайты, заставляет их владельцев с особой тщательностью выбирать программные продукты, при помощи которых создаются Web-ресурсы. Предлагая систему «Битрикс: Управление сайтом 4.0» разработчикам Internet-проектов, компания «Битрикс» должна была позаботиться о безопасности своих клиентов. Для проведения аудита безопасности системы управления сайтами была привлечена компания Positive Technologies.
Из известных типов уязвимости продукт «Битрикс: Управление сайтом 4.0» оказался в степени «ниже критической» подвержен атакам XSS и SQL-injection. Кроме того, была отмечена полная неуязвимость такого сложного для защиты блока как «Форум» |
Подчеркнув, что создание абсолютно безопасного Web-приложения — задача практически недостижимая, технический директор Positive Юрий Максимов отметил, что система «Битрикс: Управление сайтом 4.0» приятно удивила аудиторов уровнем своей безопасности. При тестировании программного обеспечения специалисты Positive имели доступ к исходным кодам программного продукта и параллельно с их анализом подвергли тестовую систему внешнему контролю при помощи собственного сканера информационной безопасности XSPider 7. Этот продукт работает, опираясь не только на имеющуюся библиотеку возможных способов хакерских атак, но и используя методы эвристического анализа. В результате за четыре недели была проведена всесторонняя проверка системы управления сайтами «Битрикс: Управление сайтом 4.0». Особое внимание уделялось анализу блоков «основные модели, классы и их методы», «механизмы авторизации, распределения прав доступа», «механизмы хранения данных», «механизмы хранения и изменения паролей», «система обновления», «модуль управления структурой сайта», «технология поиска информации» и «форум». Среди типов уязвимости, на которые осуществлялась проверка, Максимов отметил атаки Cross Site Scripting (также известна как XSS), SQL-injection, PHP-injection, HTTP Response Splitting, HTML code injection, File Inclusion и Directory traversal.
Необходимо заметить, что общая уязвимость зависит не только от Web-приложения, но и от всей платформы: операционной системы, СУБД, Web-сервера, сетевых служб и т. д. В рамках аудита эти переменные программной платформы не учитывались. Из известных типов уязвимости продукт «Битрикс: Управление сайтом 4.0» оказался в степени «ниже критической» подвержен атакам XSS и SQL-injection. Кроме того, была отмечена полная неуязвимость такого сложного для защиты блока как «Форум». По результатам проверки специалисты Positive Technologies сформулировали обнаруженные недочеты и дали рекомендации по их ликвидации. После исправления дефектов в коде «Битрикс: Управление сайтом 4.0» новая версия получила номер 4.0.6 и прошла повторную проверку. И уже на нее был выдан сертификат «Безопасное Web-приложение».
Как заявил директор «Битрикс» Сергей Рыжиков, все нынешние пользователи системы «Битрикс» могут в рамках программы SiteUpdate бесплатного обновления получить «безопасную» версию. Что же касается последующих выпусков, то с компанией Positive Technologies заключено долгосрочное соглашение, в рамках которого все последующие версии системы управления сайтами будут проходить аналогичное тестирование. Со своей стороны Максимов отметил, что в Positive приняли решение перевести все сайты своей компании на проверенное специалистами ПО.