Маркетологи «1С Битрикс» очень оптимистично отзываются о веб безопасности своего детища: Битрикс (в том числе версии 8.0.5 на СС09) проверен аудиторами безопасности.

Имеет встроенные механизмы защиты от проведения атак, в том числе проактивный WAFфильтр (Web Application Firewall; файрвол для веб-приложений). Имеет WAFEC сертификат (WAF Evaluation Criteria; оценка уровня WAF), выданный международной организацией WASC (Web Application Security Consortium; Консорциум безопасности веб-приложений). Кроме того, система имеет сертификат ФСТЭК по классу защиты от несанкционированного доступа». Маркетологи «Битрикса» говорят о безопасности своего продукта еще более красноречиво.

Однако в Bypassing Bitrix WAF via tiny regexp error, приведен один из способов обхода проактивного WAFфильтра с подробным описанием и примерами кода. Кроме того, в журнале Хакер уязвимость 0 дня, описано, как через модуль техническая поддержка» в «1С Битрикс» загружать pdf документы, заряженные исполняемым кодом JavaScript или FormCalc. Это позволяет осуществлять CSRF атаки (Cross Site Request Forgery; межсайтовая подделка запроса), в том числе XSS (CrossSite Scripting; межсайтовый скриптинг).

Уязвимость Битрикса» к XSS атакам личных кабинетов пользователей была обнаружена осенью 2015 года. В 2016м этой атаке были подвержены более 50% вебсайтов, построенных на основе «1С Битрикс». Несмотря на то что сотрудники «Битрикса» «приняли меры», XSS угроза для битриксовых сайтов остается на сегодняшний день крайне актуальной.

Наша компания, предоставляет услуги по поддержке 1с битрикс