Форум

Уязвимость Open Redirect
[URL=https://mybank.ru/bitrix/redirect.php?goto=http://ya.ru]https://mybank.ru/bitrix/redirect.php?goto=http://ya.ru[/URL]
Вместо яндекса я могу подставить любой сайт, в том числе фишинговый или с пейлоадом, пользователь видя в начале ссылки внушающий ему доверие mybank.ru - будет думать, что переходит на нормальную страницу, а попасть может куда угодно.

[URL=https://caspicasoft.com/blog/2015/11/12/bcc-open-redirect]https://caspicasoft.com/blog/2015/11/12/bcc-open-redirect[/URL] Вот описана конкретная ситуация.

Как быть? Закрыть доступ к redirect.php?

Подскажите зачем нужен в системе этот скрипт /bitrix/redirect.php?
Безопасники говорят, что это уязвимость. Никакой инфы про назначение этого скрипта в гугле не нашёл.

Проблему решил обычным добавлением значения для get параметра(=1)

Премного благодарен! Думаю, будет полезно не только мне.

Есть три пункта меню, при переходе на любой из них будет выделен только конкретный последний пункт, а не соответствующий, который был выбран. При этом страница загружается верная, т.е. соответствующая выбранному пункту меню. Есть особенность для этих пунктов меню у них одинаковый адрес, отличает их только get параметр адресной строки. Как заставить меню выделять верно выбранный пункт меню?

[QUOTE]Forumedia написал:
[QUOTE]Forumedia пишет:
Или есть возможность фильтровать по XML_ID значения свойства список?[/QUOTE]
нет
- если я сейчас зашью в запрос ID значения свойства, то в случае удаления этого значения из списка восстановить функционал запроса без изменения исходного кода будет нельзя

- также, если я сейчас зашью в запрос VALUE свойства, то при изменении текста значения опять же придется править код

непонятна функциональная нагрузка поля XML_ID

ИМХО что-то вы тут не додумали [/QUOTE]

Можно, но уникальность символьных кодов, так понимаю, всегда под сомнением: [CODE]/**
* Возвращает ID значения свойства типа список по его xml_id.
* Остаётся под вопросом уникальность указанного xml_id,
* поэтому введено уточнение символьного кода свойства и кода инфоблока
*
* @author Евгений Бородкин
* @param string $enumCode xml_id значения свойства типа список
* @param string $propertyCode Код свойства инфоблока
* @param string $IBlockCode Код инфоблока
* @return integer
* @throws Exception
*/
function GetEnumValueIDByCode($enumCode, $propertyCode = null, $IBlockCode = null)
{
   if (!CModule::IncludeModule("iblock")) {
       throw new Exception('Не удаётся подключить модуль "Информационные блоки"');
   }
   $arPropertyEnumFilter = array("EXTERNAL_ID" => "$enumCode");
   if (isset($IBlockCode)) {
       $res = CIBlock::GetList(Array(), Array('ACTIVE' => 'Y', "CODE" => $IBlockCode), true);
       $ar = $res->Fetch();
       $arPropertyEnumFilter['IBLOCK_ID'] = $ar['ID'];
   }
   if (isset($propertyCode)) {
       $arPropertyEnumFilter['CODE'] = "$propertyCode";
   }

   $property_enums = CIBlockPropertyEnum::GetList(Array(), $arPropertyEnumFilter);
   $enum_field = $property_enums->GetNext();

   return $enum_field['ID'];
}

try {
   $arrFilterMale = array("PROPERTY" => array('gender' => GetEnumValueIDByCode('male', 'gender', 'scam_list')));
   $arrFilterFemale = array("PROPERTY" => array('gender' => GetEnumValueIDByCode('female', 'gender', 'scam_list')));
} catch (Exception $e) {
   echo "Произошла ошибка:" . $e->getMessage();
}
[/CODE]Здесь $arrFilterMale и $arrFilterFemale переменные для фильтрации.