Масштабный аудит безопасности сайта на CMS Bitrix

10 февраля 2022
Компания:
Крупный дистрибьютор строительных материалов
Сфера деятельности:
Поставки стройматериалов для архитектурных компаний и частных лиц
Безопасность
Безопасность

В данном кейсе мы выявляем множество недоработок в системе безопасности сайта клиента, распределяем найденные уязвимости по приоритетности исправления и даем четкие рекомендации по их устранению.

Исходная ситуация

Аудит информационной безопасности сайта

С клиентом мы сотрудничаем уже продолжительное время и имеем доверительные взаимоотношения, сформированные за время работы над предыдущими проектами. В процессе выполнения задач, связанных с архитектурой информационной системы компании, наш инженер проявил инициативу и дополнительно частично проверил безопасность сайта клиента.

Поверхностный мониторинг выявил несколько уязвимостей, о которых мы незамедлительно сообщили заказчику.

После получения информации о найденных слабых местах в безопасности сайта, руководство компании обратилось к нам за более детальной проверкой веб-ресурса. Сама компания — крупный дистрибьютор строительных материалов, с более чем 20 филиалами в Российской Федерации. Сайт компании — интернет-магазин со сложной структурой, с большим каталогом, корзиной, личными кабинетами пользователей, имеет интеграцию с 1С и другими сервисами.

Задачи проекта

  1. Провести комплексный аудит безопасности сайта заказчика;
  2. Подготовить подробный отчет о найденных «узких» местах в информационной безопасности веб-ресурса и предоставить рекомендации по их устранению.

Реализация

Технически проведение аудита сайта состоит из следующих частей:

  1. Сканирование сайта специализированным программным обеспечением;
  2. Проверка настроек firewall;
  3. OSINT — анализ информации о ресурсе в открытых источниках;
  4. Проверка актуальности программного обеспечения (CMS, PHP, операционная система сервера и другое);
  5. Изучение данных встроенной системы безопасности;
  6. Анализ ошибок в коде, проверка корректности настроек систем обмена с внешними ресурсами;
  7. Анализ конфигурации сервера;
  8. Технический аудит сайта и его серверной части.

Сканирование сайта специализированным программным обеспечением

Сканирование сайта

Так как сайт является крупным веб-порталом, включающим в себя интернет-магазин с огромным каталогом, для проведения аудита использовалось специализированное ПО, способное просканировать ресурс на наличие самых распространенных уязвимостей. Программа в автоматическом режиме проверила сайт и выдала гигантский отчет.

Далее к работе приступил эксперт-аналитик. Полученные данные были расформированы, определены наиболее критические уязвимости, расставлены приоритеты по исправлению ошибок.

Ошибки в настройке Firewall

В процессе анализа состояния безопасности были выявлены ошибки в настройках Firewall. В отчет для клиента включена рекомендация по корректировке настроек и предотвращению несогласованного доступа к значимым портам.

OSINT — анализ информации о ресурсе в открытых источниках

OSINT

Одним из этапов проведения аудита безопасности сайта, является разведка по открытым источникам. Как оказалось, сканеры некоторых сервисов уже обошли сайт клиента и выложили у себя информацию об уязвимостях. При желании злоумышленники могли в любой момент воспользоваться этими открытыми данными.

Проверка версий ПО

Общее состояние систем требовало обновления. Сайт базировался на устаревшей версии Bitrix 7.3.4, а также были использованы неактуальные версии jQuery, OpenSSH, Nginx, PHP, Apache. Обновление всего перечисленного программного обеспечения улучшит быстродействие системы в целом, а также позволит значительно повысить уровень безопасности сайта.

Изучение данных встроенной системы безопасности

Встроенные в CMS Bitrix сканеры безопасности и производительности оказались нерабочими. Дана рекомендация по их настройке и включению.

Анализ ошибок в коде

Один из наших ведущих программистов, входящий в рабочую группу проекта, внимательно проанализировал работу обмена сайта с 1С, а также с другими ресурсами. В ходе проверки обнаружен ряд серьезных ошибок и составлен список работ по их устранению.

Анализ конфигурации сервера

Значительная часть уязвимостей была выявлена на стороне сервера. Это вызвано неправильным предоставлением прав доступа пользователям, а также наличием неактуальных патчей. Кроме того, сервер находился в открытом доступе, что является критичной ошибкой, которой могли воспользоваться злоумышленники.

Технический аудит сайта

На данном этапе оценивались скорость загрузки страниц, устойчивость ресурса к нагрузкам, а также оценивались ошибки и недостатки в функционировании технической базы сайта.

Результаты проверки работы сайта под нагрузкой:

 Результаты проверки работы сайта

Главная страница — время ответа в 10 секунд достигается при 27 активных пользователях и держится примерно на этом уровне до 42 активных пользователей. Раздел каталога — время ответа в 10 секунд достигается уже при 19 активных пользователях и держится примерно на этом уровне до 25-27 активных пользователей. Далее наблюдается серьезное увеличение времени ответа.

Подобные показатели являются неприемлемыми для крупного интернет-магазина. При DoS-атаке на сайт, загрузка страниц может стать невозможна. Вопрос решается на стороне серверных ресурсов или оптимизации запросов к базе данных. Нашим специалистом было установлено, что мощности сервера вырабатываются не полностью, поэтому проблема заключается во взаимодействии базы и сайта.

Общий вывод по аудиту

Подводя итог проверке веб-портала клиента, наш эксперт заключил, что сайт весьма уязвим для кибератак. Множество ошибок являются критическими, и важные данные находятся под угрозой.

Результаты

  • 1Проведенный аудит выявил множество слабых мест в безопасности сайта клиента;
  • 2Для заказчика подготовлен подробный отчет о найденных уязвимостях и рекомендации по их устранению. При этом наш специалист сформировал все ошибки по их важности и критичности, указав, что нужно решать в срочном порядке, а что является второстепенной проблемой.
  • 3Обладая полной информацией обо всех «узких» местах в безопасности сайта, клиент приступил к их устранению.

Оценив объем ошибок в настройках безопасности сайта и количество найденных уязвимостей, заказчик также запросил у нас аудит своего корпоративного портала Битрикс24.

Иконка для обратной связи
У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 022 73 40