понедельник, декабря 19, 2011

Bitrix: осторожность необходима.

Давненько не писал в блог: некогда было.

Впервые связался с Битриксом.

Исследуя результат запроса к БД в этой, без сарказма, большой и серьёзной системе, обнаружил, что сей результат включает зачем-то такие вещи, как реквизиты подключения к серверу данных.

Поэтому, хотя разрабатываемый сайт не имеет ссылок извне на себя и без точного адреса не может быть обнаружен, всё-таки включаю такую бомбу, как

print_r($arResult);

на очень короткое время, получаю страницу с выпотрошенным результатом и тут же отключаю.

Но интереса ради решил проверить, все ли коллеги-разработчки так благоразумны.

Погуглил: ************** (я не вандал, поэтому звёздочки). Это поле, присутствующее в самой стрёмной части результата.

Нашёл массу попаданий. Прошёл по ссылкам, просмотрел исходники страниц. В ряде случаев действительно обнаружил в них дамп результата, закомменченный или выведенный в скрытый элемент. Почерпнул SQL-хост, базу данных, имя и пароль.

Ребят, ну что же вы творите. Ваши сайты очень часто хостятся на коммерческих площадках. Хостеры очень часто предоставляют phpMyAdmin. Достаточно ведь просто туда прологиниться, чтобы слить ваши данные, или подменить их своими, или продублировать админский аккаунт, или просто вывести сайт из строя.

Аналогично и к разработчикам Битрикса. О таких подлянках надо предупреждать большими красными надписями поперёк всей документации :)

2 комментария:

Степаныч комментирует...

Уровень разработчиков энтерпрайз решений :D
Делаешь, что-то связанное с Атлант?..

Сергей комментирует...

Здоров. Не, не Атлант, но тоже большие мальчики :-)

Поиск по этому блогу