Уязвимости сайта – недостатки в системе, позволяющие злоумышленнику навредить работе сайта или похитить персональные данные пользователей.
Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.
CSRF – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Описание
Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для каждой формы генерируется короткоживущий csrf-токен проверяемый при отправке. В отличии от базовой проверки через bx_sessid токен выдается на конкретную форму и ограниченное время, что позволяет даже при перехвате токена минимизировать возможные действия с ним.
Защищает от межсайтовой подделка запроса. Даже если запрос произойдет с текущими cookie пользователя у злоумышленника не будет доступа к токену для отправки форм от его имени.
Использование
Для подключения формы из модуля Веб-формы
Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.
CSRF – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Описание
Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для каждой формы генерируется короткоживущий csrf-токен проверяемый при отправке. В отличии от базовой проверки через bx_sessid токен выдается на конкретную форму и ограниченное время, что позволяет даже при перехвате токена минимизировать возможные действия с ним.
Защищает от межсайтовой подделка запроса. Даже если запрос произойдет с текущими cookie пользователя у злоумышленника не будет доступа к токену для отправки форм от его имени.
Использование
Для подключения формы из модуля Веб-формы
- Включите проверку форм в настройках модуля
- Задайте уникальный секрет для генерации кодов
- Задайте желаемое время жизни токена в секундах
- Выберите необходимую форму из списка
- Добавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>
- Вставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);
- Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)
Код модуля
delement.csrf
Название компании-партнера
Цифровой Элемент
Число установок
Менее 50 раз
Последняя версия
1.0.0
Дата публикации
25.09.2023
Наличие демо-режима
Да
Наличие
Отзывы
Оставить отзыв
Загрузка отзывов...
Для покупки товара в нашем интернет-магазине выберите понравившийся товар и добавьте его в корзину. Далее перейдите в Корзину и нажмите на «Оформить заказ» или «Быстрый заказ».
Если оформляете быстрый заказ: напишите ФИО, телефон и e-mail. Вам перезвонит менеджер и уточнит условия заказа. По результатам разговора вам придет подтверждение оформления товара на почту или через СМС. Теперь останется только ждать доставки и радоваться новой покупке.
Оформление заказа в стандартном режиме выглядит следующим образом. Заполняете полностью форму по последовательным этапам: адрес, способ доставки, оплаты, данные о себе. Советуем в комментарии к заказу написать информацию, которая поможет курьеру вас найти. Нажмите кнопку «Оформить заказ».
Оплачивайте покупки удобным способом. В интернет-магазине доступно 3 варианта оплаты:
- Наличные при самовывозе или доставке курьером. Специалист свяжется с вами в день доставки, чтобы уточнить время и заранее подготовить сдачу с любой купюры. Вы подписываете товаросопроводительные документы, вносите денежные средства, получаете товар и чек.
- Безналичный расчет при самовывозе или оформлении в интернет-магазине: карты МИР. Чтобы оплатить покупку на сайте, система перенаправит вас на сервер платежной системы. Здесь нужно ввести номер карты, срок действия и имя держателя.
- Электронные системы при онлайн-заказе: ЮMoney. Для совершения покупки система перенаправит вас на страницу платежного сервиса. Здесь необходимо заполнить форму по инструкции.
- Безналичная оплата на наш расчетный счет по выставленному счету.
Экономьте время на получении заказа. В интернет-магазине доступно 4 варианта доставки:
- Электронная поставка - все необходимые сведения о лицензии, праве пользования, кодах, ключах и др. высылаются покупателю на его e-mail.
- Курьерская доставка. Когда товар будет отправлен с нашего склада, Вам придет уведомление. В день доставки с Вами заблаговременно свяжется курьер для уточнения времени и деталей доставки. Доставка производится "до двери". Осмотрите упаковку на целостность и соответствие указанной комплектации.
- Постамат. Когда заказ поступит на точку, на Ваш телефон или e-mail придет уникальный код. Заказ нужно оплатить в терминале постамата. Срок хранения — 3 дня.
- Доставка Почтой России. Когда заказ придет в отделение, на Ваш адрес придет извещение о посылке. Перед оплатой Вы можете оценить состояние коробки: вес, целостность. Вскрывать коробку самостоятельно Вы можете только после оплаты заказа. Один заказ может содержать не больше 10 позиций и его стоимость не должна превышать 100 000 р.
Дополнительная информация.
Новости
