Последнее время в чате телеграмм Битрикс-сообщества все чаще мелькают сообщения о появлении пользователей даже на сайтах без регистрации, об обходе капчи и обязательных полей в кастомной регистрации, а так же о рассылках через сайты на Битриксе спама с помощью уведомлений об успешной регистрации.
Стало интересно, как это можно провернуть. Всплыла серьезная уязвимость многих сайтов под управлением 1С-Битрикс.
1) При наличии на странице у публичном разделе установленной константы NEED_AUTH, на данной странице выводится стандартные старые-добрые компоненты оформления и регистрации. И это норма.
2) Но даже, если данная константа не установлена ЛЮБАЯ страница сайта все-равно успешно обработает данные отправленные формой из пункта 1. Вы спросите, но откуда же POST запрос с этими данными возникнет, если форма не выводится и заполнить её невозможно? Да этот запрос можно составить вручную, если знать, какой набор полей ожидается. Т.е. для любого злоумышленника это не проблема.
Для примера набросал такой запрос для POSTMAN и он отработал на куче сайтов-визиток и лендингах, на которых регистрация в принципе не предусмотрена, а так же получилось это провернуть в интернет-магазинах, обойдя капчу в форме регистрации. Подробнее тут: http://codeblog.pro/bitrix1c/na-sayte...lzovateli/
В техподдержке подветрдили, что проблема имеет место быть и об этом стало известно. Любопытно, конечно, что раньше ни кто не додумался использовать этот баг, а в последние пол года "фича" снискала такую популярность у спамеров.
Если вкратце, то запрещайте самостоятельную регистрацию или, как минимум, делайте капчу обязательным полем в настройках главного модуля. Для более тонкой настройки регистрации/авторизации/восстановления пароля пишите обработчики соответствующих событий.
Задойный Алексей, Что есть, то есть, проблема старая. Но основной посыл, скорее, не в определении степени "вины" Битрикса, а о том, что отныне забивать нельзя и нужно фиксить срочно везде, где присутствует такой момент Иначе рассылка спама с сайта не заставит себя долго ждать.
Алексей, не вижу как вы организуете рассылку имея в наличии только учётку в БД. Если у вас нет ни личного кабинета, ни корзины, вам вообще пофиг. Только неприятно, что таблица растёт, но не смертельно.
P.S. а если все "легитимные" юзеры при регистрации получают какую-то группу, то вообще хорошо - эти черти останутся без неё, по-моему.
P.P.S. понял кажется, вы имеете в виду спам со стороны СЕРВЕРА на случайные адреса, с целью попадания IP сервера в чёрный список спамеров? Думается мне, на сайтах где регистрация нет и почтовое событие наверное не отрабатывает... Я могу ошибаться конечно...
Задойный Алексей, а я пример по ссылочке описывал с подстановкой текста сообщения в "имя" и ссылки в "фамилию". Добавляете к этому всему эмейл жертвы и ... Жертве приходит письмо о регистрации на вашем сайте, но с текстом злоумышленника внутри, т.к. Битрикс по умолчанию не режет теги в полях пользователя. Имея базу почтовых адресов и скрипт, можно даже за ночь много дел натворить... А учитывая, что уязвимых сайтов очень много (ставил эксперемент на случайных сайтах, в том числе, интернет-магазинах из поиска), то... Непаханное поле, так сказать.
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».