О мошеннических схемах использования open redirect в 1С-Битрикс

Существует актуальная угроза для информационных ресурсов Российской Федерации, функционирующих с использованием платформы для управления сайтами «1С-Битрикс». В платформе «1С-Битрикс» содержится встроенная функции автоматического перенаправления пользователей с одного URL-адреса на другой. Она используется в случае изменения URL-адресов страниц сайта либо в маркетинговых целях. По умолчанию указанная функция позволяет перенаправлять пользователя на любой сторонний ресурс без его уведомления об этом. Это происходит путём добавления к URL-адресу сайта атрибута «goto» и URL-адреса стороннего ресурса. Примеры использования функции перенаправления путём дополнения ссылки атрибутом «goto»:

https://целевой_сайт/bitrix/redirect.php?goto=http://сторонний_сайт/
https://целевой_сайт/bitrix/rk.
php?goto=http://сторонний_сайт/
Злоумышленники могут воспользоваться этим механизмом в целях перенаправления пользователей на мошеннические сайты, сформировав фишинговую ссылку и направив её пользователю сообщением (в электронной почте, мессенджерах или социальных сетях) или внедрив такую ссылку в рекламный баннер на сайте. При клике по такой ссылке пользователь сначала переходит на целевой сайт, после чего автоматически перенаправляется на сторонний сайт. Подобная схема получила название «открытое перенаправление» (open redirect). По умолчанию в платформе «1С-Битрикс» параметр, отвечающий за проверку конечного адреса перенаправления, выключен. Разработчики платформы «1С-Битрикс» в целях защиты от мошеннической схемы рекомендуют включить в настройках функцию «Защита редиректов от фишинга». Данная функция присутствует во всех версиях модуля «Проактивной защиты», начиная с версии 8.0.3. При активации этой функции пользователь, кликнувший по ссылке, попадает на целевой сайт, где отображается уведомление о том, что он будет перенаправлен на сторонний ресурс.

Пример активации функции защиты редиректов от фишинга

В случае если функционал перенаправления не используется целевым сайтом, разработчики платформы рекомендуют удалить служебные файлы «redirect.php» и «rk.php», которые отвечают за перенаправление пользователей. Такое решение сделает невозможным сбор статистики переходов пользователей на сторонние ресурсы.

НКЦКИ предупреждает об уязвимости «нулевого дня» в Apache Log4j Apple устранила уязвимости в своих продуктах

Все новости

    301 редирект через .htaccess — Помощь

    301 редирект с одной страницы на другую.

    1. Самый простой вариант:

    Redirect 301 /test-1/ http://site. (.)$ http://site.ru/$1 [L,R=301]

    Как сделать редирект на PHP?

    Улучшить статью

    Сохранить статью

    • Последнее обновление: 14 сен, 2022

  • Читать
  • Обсудить

    • Улучшить статью

    Сохранить статью

    Перенаправление с одной страницы на другую в PHP обычно осуществляется следующими двумя способами:
    Использование функции заголовка в PHP:  
    Функция header() — это встроенная функция в PHP, которая используется для отправки Протокол передачи текста) клиенту.

    Синтаксис:  

     заголовок ($header, $replace, $http_response_code)

    Параметры: Эта функция принимает три параметра, как указано выше и описано ниже: держите строку заголовка.

  • $replace: Этот параметр используется для хранения параметра замены, который указывает, что заголовок должен заменить предыдущий аналогичный заголовок или добавить второй заголовок того же типа. Это необязательный параметр.
  • $http_response_code: Этот параметр содержит код ответа HTTP.

    • Ниже программа иллюстрирует функцию header() в PHP:

    Программа:  

    Примечание: Функция die() или exit() после заголовка является обязательной. Если die() или exit() не помещены после заголовка («Расположение: ….»), сценарий может продолжить работу, что приведет к неожиданному поведению. Например, привести к раскрытию контента, который на самом деле хотел предотвратить с помощью перенаправления (HTTP 301).
    Использование JavaScript через PHP:  
    Объект windows.location в JavaScript используется для получения адреса текущей страницы (URL) и для перенаправления браузера на новую страницу. The window.location object contains the crucial information about a page such as hostname, href, pathname, port etc.

    Example:  

    html

    < html >

         < головка >

    < Название > Окно. body >

         < p id = "demo" 4 9070 ><0074 >

    < Скрипт >

    Document.getElementByid ("demo"). InnerHtml = . Decovermelementbyid ("demo"). Innerhtml = . href +" br >";

             document.getElementById("demo").innerHTML =

             document.getElementById("demo").innerHTML0074

             "Имя хоста: " + window.location.hostname + " br >";

    Document. getElementByID («Демо»). InnerHtml =

    Document.GetElementByID ("Demo"). + " br >";

         script

    >

         body >

    html >                   

    Output:  

     URL: https:/ /ide.geeksforgeeks.org/tryit.php
Имя хоста: ide.geeksforgeeks.org
Протокол: https:

    PHP — это серверный язык сценариев, разработанный специально для веб-разработки. Вы можете изучить PHP с нуля, следуя этому руководству по PHP и примерам PHP.


    Статьи по теме

    Как перенаправить в PHP

    В этом уроке мы покажем вам, как вы можете перенаправить пользователя с помощью языка программирования PHP.

    Использование сценария PHP для перенаправления пользователей популярно уже много лет. В этом руководстве показано, как этого можно добиться, используя два разных метода.

    Существует множество причин, по которым вам может понадобиться перенаправить пользователя. Например, вам может потребоваться указать им на новую версию статьи, которая больше не доступна по определенному URL-адресу. Вам также может понадобиться перенаправление, если вы меняете домены или хотите перенаправить пользователей с HTTP на HTTPS.

    В этом руководстве мы используем функцию заголовка PHP. Кроме того, у нас есть полное руководство по функции заголовка, которое я рекомендую просмотреть, если вам нужна дополнительная информация о том, как она работает.

    Существует два способа перенаправления пользователя с помощью PHP. В этом руководстве оба метода, которые мы вам покажем, будут использовать функцию заголовка. Мы рекомендуем использовать заголовок местоположения, так как он широко поддерживается и обеспечивает лучший пользовательский интерфейс.

    Вы должны указать функцию заголовка перед любым выводом, так как вывод приведет к блокировке заголовков, что приведет к ошибке.

    Использование заголовка местоположения — один из самых популярных способов перенаправления пользователя с помощью PHP. При использовании местоположения нет задержки, поэтому веб-браузер перенаправит пользователя, как только он получит заголовок.

    Заголовок местоположения является простым и должен быть указан, как в примере ниже. [URL] — это URL-адрес , на который вы хотите перенаправить пользователя.

    В приведенном ниже примере мы указываем наш заголовок в качестве параметра в функции заголовка PHP. После этого мы завершаем PHP-скрипт с помощью функции выхода.

    Как только пользователь получает заголовок местоположения, он перенаправляется на указанный URL-адрес вместе с кодом состояния HTTP временного перенаправления 302.

    Изменение кода состояния

    По умолчанию код состояния перенаправления будет 302 временное перенаправление.

    Однако вы можете изменить это, указав код состояния, который вы хотите использовать. Например, вы можете использовать 301 (постоянная переадресация) или 303 (другое).

    Ниже приведен синтаксис функции заголовка. Мы более подробно рассмотрим эту функцию в нашем руководстве по заголовку, но, чтобы быстро подвести итог, мы кратко коснемся каждого из параметров.

    • Заголовок — это место, где мы указываем наш заголовок.
    • Заменить — здесь мы указываем ИСТИНА или ЛОЖЬ для замены любых существующих заголовков с тем же именем.
    • http_response_code — код ответа, который мы хотим использовать.

    В приведенном ниже примере указывается заголовок, в котором используется адрес и URL-адрес назначения . Второй параметр — TRUE , так как мы хотим заменить любой существующий заголовок тем же именем. Наконец, нам нужна постоянная переадресация, поэтому мы указываем 301 .

    Как вы можете видеть ниже, наша переадресация использовала код состояния, который мы указали в функции заголовка.

    Если вы хотите иметь задержку перед перенаправлением пользователя, вы можете вместо этого использовать заголовок « Refresh ». Заголовок « Refresh » не является частью стандарта HTTP, но поддерживается большинством основных браузеров.

    Метод обновления указывает браузеру обновить веб-страницу через определенное время. Мы можем изменить страницу, которая будет загружаться при обновлении, указав URL-адрес. Используя этот метод, вы можете перенаправить пользователя через определенное время.

    Вы должны написать заголовок, как в нашем примере ниже. [ВРЕМЯ] количество секунд , которое вы хотите подождать перед обновлением. [URL] — это URL-адрес места, куда вы хотите перенаправить пользователя.

    No related posts.