Трактовка результатов сканера безопасности

Урок 170 из 293
Автор: Анна Кокина
Сложность урока:
4 уровень - сложно, требуется сосредоточиться, внимание деталям и точному следованию инструкции.
4 из 5
Просмотров: 41607
Дата изменения: 15.01.2024
Недоступно в лицензиях:
Текущую редакцию Вашего 1С-Битрикс можно просмотреть на странице Обновление платформы (Marketplace > Обновление платформы).
Старт

  Трактовка результатов сканера безопасности

Сканер разделен на две части - локальную и внешнюю. Внешнее сканирование позволяет произвести проверку сайта "снаружи". Локальная - отвечает за проверки, которые невозможно/нецелесообразно выполнить “снаружи”, например, настройки сайта или исполнение php/python/perl/etc скриптов в директории хранения загружаемых файлов гораздо эффективнее проверять именно изнутри.

  Локальное сканирование

Настройки окружения


Директория хранения файлов сессий доступна для всех системных пользователей

Предположительно в директории хранения сессий находятся сессии других проектов

php/python/perl/etc скрипты исполняются в директории хранения загружаемых файлов

.htaccess файлы обрабатываются Apache в директории хранения загружаемых файлов

Apache Content Negotiation разрешен в директории хранения загружаемых файлов

Настройки PHP


Разрешено чтение файлов по URL (URL wrappers)

Cookies доступны из JavaScript

Не установлен дополнительный источник энтропии при создании идентификатора сессии

Включено использование тегов в стиле ASP

Cookies - не единственное хранилище идентификатора сессии

Включен вывод ошибок

Настройки сайта


Ограничен список потенциально опасных расширений исполняемых файлов

Проактивный фильтр выключен

Защита редиректов выключена

Уровень безопасности административной группы не является повышенным

Включена отладка SQL запросов (\$DBDebug в значении true)

Ошибки, связанные с паролями. Рекомендуется усложнить пароли согласно указаниям сканера.

Пользователи

Эти проверки появились только с версии модуля 14.0.3. Основная их цель - проверить, все ли привилегированные пользователи используют MFA, у всех ли установлен пароль достаточной сложности и так далее.


У некоторых пользователей административной группы установлен слабый пароль

Выключена двухэтапная авторизация

Не все администраторы сайта используют OTP

  Внешнее сканирование

Доступен листинг директорий

Открыт доступ к важным сервисам

Инъекция PHP-CGI параметров из строки запроса

Неправильно сконфигурирована связка Nginx + php-fpm

Открыт доступ к служебным "статус" страницам

Найдены временные файлы

Найдены опасные файлы

Доступны настройки PhpMyAdmin

Публичный доступ к файлам контроля версий

Разрешено отображение сайта во фрейме с произвольного домена

Проверяемый сайт отвечает на хост по умолчанию

Найден phpinfo()

Включен Automatic MIME Type Detection для Internet Explorer

Нам жаль это слышать… Но мы постараемся быть лучше!

Мы благодарны Вам за помощь в улучшении документации.

Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас
Курсы разработаны в компании «1С-Битрикс»