8.х Sql-инъекции

Тема в разделе "Установка платформы "1С:Предприятие 8"", создана пользователем Tasya, 20 янв 2014.

  1. TopicStarter Overlay
    Tasya
    Offline

    Tasya Опытный в 1С

    Регистрация:
    9 сен 2013
    Сообщения:
    148
    Симпатии:
    3
    Баллы:
    29
    Добрый день!

    Платформа 8.2.18.96
    Конфигурация 1С:ITIL 1.1.2.4
    СУБД MSSQL Server 2012 11.0.2100.60

    Опубликовала базу на веб-сервере.
    Моя безопасность просканировала его и выявила sql-инъекции.

    Может кто-нибудь уже сталкивался с этой проблемой?
    Имеет ли смысл обновлять платформу?
    Или все дело в настройках самого SQL Server?
  2. nickpugachev
    Offline

    nickpugachev Профессионал в 1С Команда форума

    Регистрация:
    28 май 2012
    Сообщения:
    3.266
    Симпатии:
    131
    Баллы:
    104
    что за безопасность у вас сканировала и что конкретно она сканировала?

    платформа собирает запросы sql кусками, в том числе используя динамический sql (хотя могли и без него обойтись), так что ругануться на инъекцию в принципе что-то может, но нужны подробности.
  3. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.782
    Симпатии:
    509
    Баллы:
    204
    Обычно инъекции производятся черерз PHP-шеллы. В 1С и не пахнет PHP.
  4. nickpugachev
    Offline

    nickpugachev Профессионал в 1С Команда форума

    Регистрация:
    28 май 2012
    Сообщения:
    3.266
    Симпатии:
    131
    Баллы:
    104
    в 1с инъекцию в чистом виде нереально устроить, а вот какой-нибудь анализатор запросов может такую ругань устроить на использование динамических запросов, которыми 1с грешит (это которые EXEC 'SELECT ... FROM ...')
  5. TopicStarter Overlay
    Tasya
    Offline

    Tasya Опытный в 1С

    Регистрация:
    9 сен 2013
    Сообщения:
    148
    Симпатии:
    3
    Баллы:
    29
    Сканировался сам веб-сервер. Я лишь имею только результат и задачу на устранение уязвимости.
    Более подробно: "Страница результатов была успешно модифицирована с помощью логических условий".

    Думаю попробовать обновить платформу и попросить просканировать повторно.
  6. nickpugachev
    Offline

    nickpugachev Профессионал в 1С Команда форума

    Регистрация:
    28 май 2012
    Сообщения:
    3.266
    Симпатии:
    131
    Баллы:
    104
    там на формочке, которая была открыта, sql-запросов в полях ввода от самого itil не было случайно?

    скорее это браузер выдал - они параноиками стали в последнее время :)
  7. TopicStarter Overlay
    Tasya
    Offline

    Tasya Опытный в 1С

    Регистрация:
    9 сен 2013
    Сообщения:
    148
    Симпатии:
    3
    Баллы:
    29
    Какую формочку вы имеете ввиду?
  8. nickpugachev
    Offline

    nickpugachev Профессионал в 1С Команда форума

    Регистрация:
    28 май 2012
    Сообщения:
    3.266
    Симпатии:
    131
    Баллы:
    104
    такое обычно браузер выдает, если были похожие на инъекции данные в post-запросах или данных, которые передаются через XMLHttpRequest (оба варианта отрабатывают когда в управляемой форме в веб-интерфейсе идет какая-то реакция на действия пользователя с вызовом серверных процедур)
  9. lazy
    Offline

    lazy Модераторы Команда форума Модератор

    Регистрация:
    1 сен 2007
    Сообщения:
    2.127
    Симпатии:
    4
    Баллы:
    29
    1. Наличие потенциальной уязвимости и наличие эксплуатируемой - разные ситуации.
    2. Устранить уязвимость своими силами не удастся - придется писать багрепорт и ждать у моря погоды пока 1С исправит.
    3. Не факт, что 1С сочтет найденные проблемы достойными рассмотрения.
    4. Я бы рекомендовал в большей степени сосредоточиться на повышении уровня безопасности на машинах конечных пользователей:
    + антивирусные системы
    + адекватные пароли
    + понимание пользователями принципов социальной инженерии
  10. TopicStarter Overlay
    Tasya
    Offline

    Tasya Опытный в 1С

    Регистрация:
    9 сен 2013
    Сообщения:
    148
    Симпатии:
    3
    Баллы:
    29
    Обновила платформу. Сканирование показало тот же результат - веб-сервер подвержен sql-инъекциям.
    Если у 1с есть такая проблема, как они предоставляют облачные технологии?

    И подскажите еще момент, может я неправильно понимаю.
    Если пользователь выполняет какие-то действия, связанные с вызовом серверных процедур, то дело не в платформе, а в самой конфигурации?
    Кто фильтрetn запросы идущие в базу данных: платформа или конфигурация?
  11. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.782
    Симпатии:
    509
    Баллы:
    204
    Пользователь взаимодействует с конфигурацией, а уже конфигурация взаимодействует с платформой.
  12. nickpugachev
    Offline

    nickpugachev Профессионал в 1С Команда форума

    Регистрация:
    28 май 2012
    Сообщения:
    3.266
    Симпатии:
    131
    Баллы:
    104
    то, что вы видите предупреждения об инъекциях - проблема конкретной конфигурации ITIL - уж больно специфична она. запросы, которые идут в базу 1с генерирует платформа, но на уровне сервера баз данных инъекции уже не отловить. ловит их либо веб-сервер, либо браузер. соответственно это они видят фрагменты sql, которые бегают между веб-сервером и браузером. отсюда и следует, что платформа к этому не имеет никакого отношения.

Поделиться этой страницей