@tehnazavr

Какие в 1С есть уязвимости?

Доброго времени суток.
Интересно, какие в системе 1с есть уязвимости. Речь идёт не о 1с-битрикс, а именно о 1с-предприятие, конфигуратор и клиент...
Например в вебе есть OWASP TOP 10. Есть ли что-то подобное для 1с? И характерны ли вообще балячки веба для платформы 1с, можно ли там выполнить какую-нибудь инъекцию или XXE атаку например?
  • Вопрос задан
  • 2167 просмотров
Решения вопроса 1
@stratosmi
1С - это не нечто одно единое и одинаковое.

Там много всего и очень разного:

Следует различать:
  1. собственно платформу 1С
  2. и конкретные конфигурации (прикладные решения).
  3. эти конфигурации очень разные.


Следует различать
  1. прикладные решения типовые
  2. и прикладные решения самодеятельные
  3. и глубоко модернизированные типовые.


Следует различать
а как это конкретно настроено в конкретном предприятии

Пример:
В предыдущем поколении (нынешнее V8, уже версия 8.4) которое V7 (точнее версия 7.7, известная как V77) была просто замечательная уязвимость:

Если ваша СУБД используемая 1С файловая (с SQL-версией сложнее), то достаточно было удалить один файл и вы получали полный админовский доступ к БД.

После того как вы вошли в систему - этот файл можно было вернуть назад. Чтобы никто и не заметил. Права вас уже вошедшего в систему оставались админовскими (полными)

Понятно что это косяк производителя платформы.

Но ведь он легко фиксится админом системы (запрет изменять и удалять этот файл).

Чей тогда это косяк?

Или, в 1С можно запускать внешние куски кода (просто "открыть любой файл и выполнить")

Но при этом платформа современной версии позволяет запретить рядовому пользователю это делать.
Платформа предупреждает об открытии таких файлов и пр.
Платформа позволяет ограничивать то, что доступно по чтению и записи в БД пользователю (такой внешний код выполняется от имени какого то пользователя и с его правами).

Чей будет косяк и считать ли это уязвимостью, когда у пользователей, все же права такие есть (а в подавляющем большинстве случаев эти права никак не ограничиваются).

То есть рассматривать на предмет уязвимости имеет смысл систему только вполне конкретную настроенную и эксплуатирующуюся в конкретном предприятии.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
fosihas
@fosihas
Автоматизации учета на 1С.
Какие в 1С есть уязвимости?

1.Человеческий фактор.
2....
Ответ написан
Комментировать
@SuNbka
Начните отсюда: its.1с.ru, wiki.
Ответ написан
Комментировать
@dimoff66
Кратко о себе: Я есть
1С это платформа, все зависит от конкретной конфигурации. В типовых конфигурациях никакой введенный пользователем в виде текста код не выполняется, посему инъекции не возможны. Только в случае, если ему открыт доступ к внешним файлам, о чем выше писал пользователь stratosmi, тогда злоумышленник может в рамках компетенций своих прав выполнить любой запрос к базе. Но опять же - если его права четко ограничены пользовательским доступом, то даже при открытых внешних файлах система не даст менять объекты программно.
Ответ написан
Комментировать
@FreeArcher
Senior 1С; php, JS Starter
1С обычно не смотрит во вне, только сейчас это начинается развиваться. Так что пока инфы о взломах неслышал.
Ответ написан
Комментировать
@seeges
Уязвимость 1С - это большая тема, т.к. действительно уязвимость может быть как самой платформы, так и решений написанных на ней. Эти уязвимости никто не исследует, т.к. ценность информации которая станет доступна взломщику ничтожна (ну так видимо думает большинство).
Из того, с чем уже сталкивался:
1) уязвимость связанная с заменой "встроенной" обработки в платформе. Это вроде как фича, а не баг. Описана данная функциональность в статье https://infostart.ru/1c/articles/369487/ . Получается, что вам достаточно заменить "встроенную" обработку на свою на стороне клиента (толстый клиент или тонкий). И это при том, что у вас может быть заблокировано открытие файлов из интерфейса 1С на уровне прав. Но по моему это явный баг, т.к. позволяет по сути модифицировать клиентскую часть приложения (и в тонком клиенте даже запУстится "серверный код" из этой же обработки). Как ведет себя платформа с такими обработками в вебе не изучал. Дальше уже может быть много разных сценариев использования "новой" обработки.
2) скачивание подробной информации о конфигурации и отображение этой детализации в отладчике вебклиента. Наверное это тоже считается фичей, т.к. говорит об открытости 1С-платформы. Включите отладку на вебе и вы увидете очень подробную инфу о конфигурации, названиях объектов метаданных, формах, модулях и т.п. И это все в открытом виде. Одно дело - конфигурация написанная с нуля где мы четко не знаем что внутри "функции" или "процедуры". Другое дело типовые и написанные на базе БСП конфигурации, где мы знаем что и где выполняется на сервере, где и что выполняется в привелигерованном режиме и т.д. И если в десктопном приложении это хоть как-то скрыто внутри прилоения, то в вебе все открыто: можешь выполнять необходимые процедуры/функции простым пост-запросом. Главное, конечно, это залогиниться
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы