File manager

File manager - Edit - /home/c14075/dragmet-ural.ru/www/bitrix/managed_cache/MYSQL/security/site_checker/fe/fe281fe196231c8d5d04f39a286c1fd5.php

Back
<? if($INCLUDE_FROM_CACHE!='Y')return false; $datecreate = '001772606750'; $dateexpire = '001775198750'; $ser_content = 'a:2:{s:7:"CONTENT";s:0:"";s:4:"VARS";a:2:{s:7:"results";a:14:{i:0;a:5:{s:5:"title";s:128:"Уровень безопасности административной группы не является повышенным";s:8:"critical";s:5:"HIGHT";s:6:"detail";s:182:"Пониженный уровень безопасности административной группы может значительно помочь злоумышленнику";s:14:"recommendation";s:337:"Ужесточить <a href="/bitrix/admin/group_edit.php?ID=1&tabControl_active_tab=edit2" target="_blank">политики безопасности административной</a> группы или выбрать предопределенную настройку уровня безопасности "Повышенный".";s:15:"additional_info";s:0:"";}i:1;a:5:{s:5:"title";s:61:"Включен расширенный вывод ошибок";s:8:"critical";s:5:"HIGHT";s:6:"detail";s:126:"Расширенный вывод ошибок может раскрыть важную информацию о ресурсе";s:14:"recommendation";s:63:"Выключить в файле настроек .settings.php";s:15:"additional_info";s:0:"";}i:2;a:5:{s:5:"title";s:102:"Пароль к БД не содержит спецсимволов(знаков препинания)";s:8:"critical";s:5:"HIGHT";s:6:"detail";s:138:"Пароль слишком прост, что повышает риск взлома учетной записи в базе данных";s:14:"recommendation";s:57:"Добавить спецсимволов в пароль";s:15:"additional_info";s:0:"";}i:3;a:5:{s:5:"title";s:77:"Используются устаревшие модули платформы";s:8:"critical";s:5:"HIGHT";s:6:"detail";s:55:"Доступны новые версии модулей";s:14:"recommendation";s:275:"Рекомендуется своевременно обновлять модули платформы, установить рекомендуемые обновления: <a href="/bitrix/admin/update_system.php" target="_blank">Обновление платформы</a>";s:15:"additional_info";s:142:"Модули для которых доступны обновления:<br>main<br /> iblock<br /> sale<br /> bizproc<br /> ui<br /> landing";}i:4;a:4:{s:5:"title";s:109:"Статический анализ уязвимостей обнаружил 1 проблемных мест";s:8:"critical";s:5:"HIGHT";s:14:"recommendation";s:97:"Необходимо обратится к разработчику для исправления";s:6:"detail";s:2630:"<div class="checklist-dot-line"></div><div class="checklist-vulnscan-files"><div class="checklist-vulnscan-vulnscan-blocktitle">Cross-Site Scripting</div><div id="/ajax/custopm_price_pav.php"><div class="checklist-vulnscan-vulnblock"><span class="checklist-vulnscan-filename">Файл: /ajax/custopm_price_pav.php</span><div style="visibility: hidden; display:none;" class="checklist-vulnscan-helpbox" data-help="/ajax/custopm_price_pav.php"><div class="checklist-vulnscan-helpbox-description">Межсайтовый скриптинг (XSS) уязвимость возникает тогда, когда данные, принятые от пользователя, выводятся в браузер без надлежащей фильтрации. Уязвимость может быть использована для изменения вида HTML страниц уязвимого сайта в контексте браузера целевого пользователя, похищения COOKIE данных браузера целевого пользователя, с последующим внедрением в его сессию, под его учетной записью.</div><div class="checklist-vulnscan-helpbox-safe-title">Как защищаться</div><div class="checklist-vulnscan-helpbox-safe-description">Использовать <b>htmlspecialcharsbx</b>. Параметры тегов с динамическими значениями ограничивать двойными кавычками. Принудительно добавлять протокол (http), где это необходимо, для значений параметров тегов, таких как href или src.</div></div><div class="checklist-vulnscan-code"><div class="checklist-vulnscan-code-line"><div style="clear:both;"><span>5:</span> <span style="color: #0000BB;">$name_cookie</span><span style="color: #007700;"> = </span><span style="color: #DD0000;;">'PRICECUSTOM_'</span><span style="color: #007700;"> . </span><span style="color: #0000BB;">$_POST</span><span style="color: #007700;">[</span><span style="color: #DD0000;">\'ELEMENT_ID\'</span><span style="color: #007700;">]</span></div></div></div><div class="checklist-vulnscan-dangerous-is-here"><div style="clear:both;"><span>7:</span> <span style="color: #007700;">echo</span> <span style="color: #007700;">(</span><span style="color: #0000BB;"><b>$name_cookie</b></span><span style="color: #007700;">)</span></div></div><div class="checklist-vulnscan-dependecies"></div></div></div></div>";}i:5;a:5:{s:5:"title";s:291:"Обнаружено как минимум 1 файлов или директорий с доступом на запись для всех пользователей окружения в котором работает веб-сервер (не пользователей Bitrix Framework)";s:8:"critical";s:5:"HIGHT";s:6:"detail";s:275:"Право на запись у всех системных пользователей может служить причиной полной компрометации ресурса, путем модификации исходного кода вашего проекта";s:14:"recommendation";s:119:"Необходимо отобрать лишние права у всех системных пользователей";s:15:"additional_info";s:66:"Последние 1 файлов/директорий:<br>/bitrix";}i:6;a:5:{s:5:"title";s:113:"Разрешено отображение сайта во фрейме с произвольного домена";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:307:"Запрет отображения фреймов сайта со сторонних доменов способен предотвратить целый класс атак, таких как <a href="https://www.owasp.org/index.php/Clickjacking" target="_blank">Clickjacking</a>, Framesniffing и т.д.";s:14:"recommendation";s:1875:"Скорее всего, вам будет достаточно разрешения на просмотр сайта в фреймах только на страницах текущего сайта. Сделать это достаточно просто, достаточно добавить заголовок ответа "X-Frame-Options: SAMEORIGIN" в конфигурации вашего frontend-сервера. </p><p>В случае использования nginx:<br> 1. Найти секцию server, отвечающую за обработку запросов нужного сайта. Зачастую это файлы в /etc/nginx/site-enabled/.conf<br> 2. Добавить строку: <pre> add_header X-Frame-Options SAMEORIGIN; </pre> 3. Перезапустить nginx<br> Подробнее об этой директиве можно прочесть в документации к nginx: <a href="http://nginx.org/ru/docs/http/ngx_http_headers_module.html" target="_blank">Модуль ngx_http_headers_module</a> </p><p>В случае использования Apache:<br> 1. Найти конфигурационный файл для вашего сайта, зачастую это файлы /etc/apache2/httpd.conf, /etc/apache2/vhost.d/.conf<br> 2. Добавить строки: <pre> <IfModule headers_module> Header set X-Frame-Options SAMEORIGIN </IfModule> </pre> 3. Перезапустить Apache<br> 4. Убедиться, что он корректно обрабатывается Apache и этот заголовок никто не переопределяет<br> Подробнее об этой директиве можно прочесть в документации к Apache: <a href="http://httpd.apache.org/docs/2.2/mod/mod_headers.html" target="_blank">Apache Module mod_headers</a> </p>";s:15:"additional_info";s:2514:"Адрес: <a href="https://dragmet-ural.ru/?rnd=0.023180091658458357&t=T022" target="_blank">https://dragmet-ural.ru/?rnd=0.023180091658458357&t=T022</a><br>Запрос/Ответ: <pre>GET /?rnd=0.023180091658458357&t=T022 HTTP/1.1 Host: dragmet-ural.ru User-Agent: BitrixCloud BitrixSecurityScanner/Robin-Scooter rnd46 Accept: / Accept-Encoding: gzip, deflate HTTP/1.1 200 OK Server: nginx/1.14.1 Date: Mon, 16 Jan 2023 08:03:11 GMT Content-Type: text/html; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive Vary: Accept-Encoding X-Powered-By: PHP/7.4.30 P3P: policyref="/bitrix/p3p.xml", CP="NON DSP COR CUR ADM DEV PSA PSD OUR UNR BUS UNI COM NAV INT DEM STA" X-Powered-CMS: Bitrix Site Manager (4eedc7ef7ec7de916cc0d82eb52178ca) Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache x-ammina-module: regions Set-Cookie: PHPSESSID=7JVpobKyRHHx64BPKjiD1CqjZxjN4o46; path=/; domain=dragmet-ural.ru; HttpOnly Set-Cookie: BITRIX_SM_SALE_UID=b0e5fff887123bb1ccb643e5ee541a23; expires=Thu, 11-Jan-2024 08:03:10 GMT; Max-Age=31103999; path=/; domain=dragmet-ural.ru Content-Encoding: gzip <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru" > <head> <!-- Google tag (gtag.js) --> <script async src="https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID"></script> <script> window.dataLayer = window.dataLayer \|\| []; function gtag(){window.dataLayer.push(arguments);} gtag(\'js\', new Date()); gtag(\'config\', \'GA_TRACKING_ID\'); </script> <meta name="viewport" content="width=device-width, initial-scale=1" /> <title>Скупка радиодеталей в Екатеринбурге по высоким ценам</title> <meta name="viewport" content="initial-scale=1.0, width=device-width" /> <meta name="HandheldFriendly" content="true" /> <meta name="yes" content="yes" /> <meta name="apple-mobile-web-app-status-bar-style" content="black" /> <meta name="SKYPE_TOOLBAR" content="SKYPE_TOOLBAR_PARSER_COMPATIBLE" /> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta name="keywords" content="радиодетали Екатеринбу</pre>";}i:7;a:5:{s:5:"title";s:79:"Используется опасная/устаревшая версия Nginx";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:114:"Не рекомендуется использование опасных/устаревших версий Nginx.";s:14:"recommendation";s:198:"Необходимо обновить Nginx до последней стабильной версии (рекомендуется) или как минимум до версии не ниже 1.6.3.";s:15:"additional_info";s:94:"Текущая версия: 1.14.1<br>Минимально рекомендуемая: 1.17.7";}i:8;a:5:{s:5:"title";s:69:"Включено использование расширения PHAR";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:171:"Использование расширения PHAR - небезопасно. <a href=\'https://blog.sonarsource.com/new-php-exploitation-technique\'>Подробнее</a>";s:14:"recommendation";s:101:"Отключите это расширение в конфигурационном файле php.ini";s:15:"additional_info";s:0:"";}i:9;a:5:{s:5:"title";s:68:"Разрешено чтение файлов по URL (URL wrappers)";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:256:"Если эта, сомнительная, возможность PHP не требуется - рекомендуется отключить, т.к. она может стать отправной точкой для различного типа атак";s:14:"recommendation";s:89:"Необходимо в настройках php указать:<br>allow_url_fopen = Off";s:15:"additional_info";s:0:"";}i:10;a:5:{s:5:"title";s:110:"Установлен не корректный порядок формирования массива _REQUEST";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:392:"Зачастую в массив _REQUEST нет необходимости добавлять любые переменные, кроме массивов _GET и _POST. В противном случае это может привести к раскрытию информации о пользователе/сайте и иным не предсказуемым последствиям.";s:14:"recommendation";s:88:"Необходимо в настройках php указать:<br>request_order = "GP"";s:15:"additional_info";s:75:"Текущее значение: ""<br>Рекомендованное: "GP"";}i:11;a:5:{s:5:"title";s:119:"Временные файлы хранятся в пределах корневой директории проекта";s:8:"critical";s:6:"MIDDLE";s:6:"detail";s:271:"Хранение временных файлов, создаваемых при использовании CTempFile, в пределах корневой директории проекта не рекомендовано и несет с собой ряд рисков.";s:14:"recommendation";s:883:"Необходимо определить константу "BX_TEMPORARY_FILES_DIRECTORY" в "bitrix/php_interface/dbconn.php" с указанием необходимого пути.<br> Выполните следующие шаги:<br> 1. Выберите директорию вне корня проекта. Например, это может быть "/home/bitrix/tmp/www"<br> 2. Создайте ее. Для этого выполните следующую комманду: <pre> mkdir -p -m 700 /полный/путь/к/директории </pre> 3. В файле "bitrix/php_interface/dbconn.php" определите соответствующую константу, чтобы система начала использовать эту директорию: <pre> define("BX_TEMPORARY_FILES_DIRECTORY", "/полный/путь/к/директории"); </pre>";s:15:"additional_info";s:76:"Текущая директория: /home/c14075/odm.na4u.ru/www/upload/tmp";}i:12;a:5:{s:5:"title";s:44:"Включен Automatic MIME Type Detection";s:8:"critical";s:3:"LOW";s:6:"detail";s:248:"По умолчанию в Internet Explorer/FlashPlayer включен автоматический mime-сниффинг, что может служить источником XSS нападения или раскрытия информации.";s:14:"recommendation";s:1752:"Скорее всего, вам не нужна эта функция, поэтому её можно безболезненно отключить, добавив заголовок ответа "X-Content-Type-Options: nosniff" в конфигурации вашего веб-сервера. </p><p>В случае использования nginx:<br> 1. Найти секцию server, отвечающую за обработку запросов нужного сайта. Зачастую это файлы в /etc/nginx/site-enabled/.conf<br> 2. Добавить строку: <pre> add_header X-Content-Type-Options nosniff; </pre> 3. Перезапустить nginx<br> Подробнее об этой директиве можно прочесть в документации к nginx: <a href="http://nginx.org/ru/docs/http/ngx_http_headers_module.html" target="_blank">Модуль ngx_http_headers_module</a> </p><p>В случае использования Apache:<br> 1. Найти конфигурационный файл для вашего сайта, зачастую это файлы /etc/apache2/httpd.conf, /etc/apache2/vhost.d/.conf<br> 2. Добавить строки: <pre> <IfModule headers_module> Header set X-Content-Type-Options nosniff </IfModule> </pre> 3. Перезапустить Apache<br> 4. Убедиться, что он корректно обрабатывается Apache и этот заголовок никто не переопределяет<br> Подробнее об этой директиве можно прочесть в документации к Apache: <a href="http://httpd.apache.org/docs/2.2/mod/mod_headers.html" target="_blank">Apache Module mod_headers</a> </p>";s:15:"additional_info";s:1884:"Адрес: <a href="https://dragmet-ural.ru/bitrix/js/main/core/core.js?rnd=0.6253184002716138&t=T017" target="_blank">https://dragmet-ural.ru/bitrix/js/main/core/core.js?rnd=0.6253184002716138&t=T017</a><br>Запрос/Ответ: <pre>GET /bitrix/js/main/core/core.js?rnd=0.6253184002716138&t=T017 HTTP/1.1 Host: dragmet-ural.ru User-Agent: BitrixCloud BitrixSecurityScanner/Robin-Scooter rnd43 Accept: / Accept-Encoding: gzip, deflate HTTP/1.1 200 OK Server: nginx/1.14.1 Date: Mon, 16 Jan 2023 08:03:06 GMT Content-Type: application/javascript Transfer-Encoding: chunked Connection: keep-alive Vary: Accept-Encoding Last-Modified: Thu, 22 Dec 2022 18:53:26 GMT ETag: W/"77230-5f06f2f22df4a" Content-Encoding: gzip ;(function() { if (typeof window.BX === \'function\') { return; } /** * Babel external helpers * (c) 2018 Babel * @license MIT / (function (global) { var babelHelpers = global.babelHelpers = {}; function _typeof(obj) { if (typeof Symbol === "function" && typeof Symbol.iterator === "symbol") { babelHelpers.typeof = _typeof = function (obj) { return typeof obj; }; } else { babelHelpers.typeof = _typeof = function (obj) { return obj && typeof Symbol === "function" && obj.constructor === Symbol && obj !== Symbol.prototype ? "symbol" : typeof obj; }; } return _typeof(obj); } babelHelpers.typeof = _typeof; var REACT_ELEMENT_TYPE; function _createRawReactElement(type, props, key, children) { if (!REACT_ELEMENT_TYPE) { REACT_ELEMENT_TYPE = typeof Symbol === "function" && Symbol.for && Symbol.for("react.element") \|\| 0xeac7; } var defaultProps = type && type.defaultProps; var childrenLength = arguments.length - 3; </pre>";}i:13;a:5:{s:5:"title";s:53:"Не используется HSTS заголовок";s:8:"critical";s:3:"LOW";s:6:"detail";s:147:"HSTS заголовок принудительно активирует защищённое соединение через протокол https";s:14:"recommendation";s:127:"Добавьте "Strict-Transport-Security: max-age=31536000" к заголовкам ответа вашего сервера";s:15:"additional_info";s:2511:"Адрес: <a href="https://dragmet-ural.ru/?rnd=0.41611008930091276&t=T032" target="_blank">https://dragmet-ural.ru/?rnd=0.41611008930091276&t=T032</a><br>Запрос/Ответ: <pre>GET /?rnd=0.41611008930091276&t=T032 HTTP/1.1 Host: dragmet-ural.ru User-Agent: BitrixCloud BitrixSecurityScanner/Robin-Scooter rnd28 Accept: /* Accept-Encoding: gzip, deflate HTTP/1.1 200 OK Server: nginx/1.14.1 Date: Mon, 16 Jan 2023 08:03:11 GMT Content-Type: text/html; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive Vary: Accept-Encoding X-Powered-By: PHP/7.4.30 P3P: policyref="/bitrix/p3p.xml", CP="NON DSP COR CUR ADM DEV PSA PSD OUR UNR BUS UNI COM NAV INT DEM STA" X-Powered-CMS: Bitrix Site Manager (4eedc7ef7ec7de916cc0d82eb52178ca) Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache x-ammina-module: regions Set-Cookie: PHPSESSID=dPoOqp3X2rJ3MbAz3DoUGy8V947zoAXT; path=/; domain=dragmet-ural.ru; HttpOnly Set-Cookie: BITRIX_SM_SALE_UID=05e7d3a453d06e8b2ee1c2eb335e4886; expires=Thu, 11-Jan-2024 08:03:10 GMT; Max-Age=31103999; path=/; domain=dragmet-ural.ru Content-Encoding: gzip <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru" > <head> <!-- Google tag (gtag.js) --> <script async src="https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID"></script> <script> window.dataLayer = window.dataLayer \|\| []; function gtag(){window.dataLayer.push(arguments);} gtag(\'js\', new Date()); gtag(\'config\', \'GA_TRACKING_ID\'); </script> <meta name="viewport" content="width=device-width, initial-scale=1" /> <title>Скупка радиодеталей в Екатеринбурге по высоким ценам</title> <meta name="viewport" content="initial-scale=1.0, width=device-width" /> <meta name="HandheldFriendly" content="true" /> <meta name="yes" content="yes" /> <meta name="apple-mobile-web-app-status-bar-style" content="black" /> <meta name="SKYPE_TOOLBAR" content="SKYPE_TOOLBAR_PARSER_COMPATIBLE" /> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta name="keywords" content="радиодетали Екатеринбу</pre>";}}s:9:"test_date";s:10:"16.01.2023";}}'; return true; ?>

| ver. 1.4 | Github | . | PHP 7.4.33 | Generation time: 0.27 | proxy | phpinfo | Settings