Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям

Привет! Меня зовут Анастасия Соколенко, я отвечаю за безопасную разработку в Битрикс24. Вместе с коллегами мы не только проверяем код, который пишут наши разработчики, но и учим их делать его максимально безопасным. Конечно, большинство разработчиков знакомы с разными уязвимостями веб-приложений, однако не все и не всегда применяют надлежащие методы защиты при написании кода. Существует очень много типов уязвимостей, но я разберу несколько самых распространённых, которые обязательно нужно учитывать при разработке. Сегодня расскажу вам о двух, а еще несколько рассмотрим в следующих частях этой статьи. SQL-инъекции и XSS-атаки входят в топ уязвимостей по мнению экспертов в области ИБ. Лаборатория Касперского ставит их на 4 и 5 места в своем рейтинге. С них мы и начнём.

https://habr.com/ru/companies/bitrix/articles/886090/

Делюсь радостным событием: впервые моё приложение (бэкенд - на #Go) вышло в маркете Битрикс24!

https://amgold.ru/blog/bitrix24-anvlink

Разбираем базу по базам

Всем привет! Сегодня у нас на повестке дня работа с SQL-запросами, базами данных, какие есть варианты и как вообще правильно с ними работать в рамках BitrixFramework . Разберем основы конфигурации, как подключать несколько БД на один проект, делать безопасные запросы и не тревожиться на счет инъекций. Не стоит пугаться AI-шной картинки, внутри материал писала белковая нейронка ;-)

https://habr.com/ru/companies/bitrix/articles/868852/

Записки разработчика: airflow->symfony-console->bitrix agents

Всем привет, случалось такое, что вам надо поставить кучу агентов битрикса на крон, а потом сидеть и разбираться - сколько они отрабатывают, отрабатывают ли вообще, когда падают или зависают? Ну конечно случалось. Так вот, чтобы получить визуальное представление о том, что там происходит, было принято решение, вынести агенты даже не на крон, а на apache airflow. Поведаю вам, как это было реализовано. Агенты По факту, агенты - это выполнение php команд по-расписанию. Но мы пойдем дальше и выделим их в отдельную сущность, в классы с расширением Agents.php Создадим интерфейс для агентов

https://habr.com/ru/articles/868042/

Синонимы, транслит и магия: Как заставить систему читать мысли пользователя

Поиск сопровождает практически любую информационную систему — будь то интернет-магазин, таск-трекер, CRM или что-либо другое. Заветная иконка поиска присутствует почти везде.

https://habr.com/ru/articles/866980/

Записки разработчика: как подружить D7 свойства и IDE

Приветствую всех неравнодушных! В статье я расскажу, как мы смогли подружить сложные D7 свойства инфоблоков с нашей IDE. Есть в одном проекте такая волшебная штука, как подборы. В них столько свойств, что обычный getList() по 30 записям съедает 6 Гб оперативной памяти, а для оптимизации этого монстра приходится использовать ядро D7. Что же может нам рассказать интернет о том, как правильно обращаться к свойствам инфоблоков, чтобы проект не "ушел отдыхать", обидевшись на всех? 1. Изучим концепцию Нам, как во многих фреймворках, предлагают описать нашу сущность, создать модель и по ней уже баловаться, как пожелаем. Но в нашей сущности получается 570 полей. Одно описание этих полей займет о-о-ой как много времени — не наш вариант.

https://habr.com/ru/articles/865982/

Вести с полей киберинцидентов: команда расследователей делится итогами проектов 2023-2024

Привет! На связи команда по расследованию и реагированию на инциденты экспертного центра безопасности Positive Technologies. За год мы выполнили около ста проектов по расследованию инцидентов ИБ и ретроспективному анализу в организациях по всему миру. В этом исследовании мы с разных сторон изучили кейсы, над которыми работали в период с IV квартала 2023 по III квартал 2024 года, проанализировали самые интересные техники атак и выделили популярные инструменты злоумышленников. В этой статье мы поделимся основными результатами и ответим на два главных вопроса: как действовали киберпреступники и почему их атаки были успешными. Узнать подробности

https://habr.com/ru/companies/pt/articles/856898/

#cybersecurity #инцеденты #аналитика #apt #mitreatt&ck #bitrix #linux #windows #угрозы

Свой первый модуль для админки битрикс, первое субъективное впечатление

Итак после первых плагинов для ВордПресс и джумла пришла пора сделать что-то похожее в Битрикс. Наш путь познания разных движков для сайтов проходит под идеей принести новый функционал, а именно принятие оплаты по покупателя при самовывозе, то есть это либо наличными либо по банковской карте в момент, когда клиент приходит к вам в офис. И вот так получилось, что свежие мозги прошлись по ВордПрессу, Джумла и теперь взялись за Битрикс. Сразу хочу сказать, что привыкнуть можно к любой CMS, все дело в обстоятельствах и времени. Главное отличие отечественной CMS - оплата вперед Итак не нужные проблемы у Битрикс начинаются уже на этапе установки, разработчики как бы говорят вам - нафига ты сюда лезешь (это наша корова и доить ее будем сами). Имеется ввиду, что так называемая демо версия (на месяц) виснет при установке и до конца ну никак не доходит. Мы сначала подумали, что это потому, что мы устанавливаем на локалхост или потому, что это демо версия, но оказалось впоследствие, что так и должно быть. То есть и при установке демо и при установке нового сайта в рабочем Битриксе установка зависала на разных этапах по непонятным причинам.

https://habr.com/ru/articles/843336/

Дайджест Облака Рег.ру за август

Команда Облака Рег.ру работает не покладая рук и не выключая компьютеров! Собрали дайджест: что мы сделали за август. Добавили услугу Kubernetes в облаке (KaaS). Решение позволяет автоматически развертывать, масштабировать и обслуживать контейнерную инфраструктуру. KaaS помогает сократить этап развертывания до 5–10 минут и снизить количество рутинных процессов при обслуживании ИТ-инфраструктуры. В рамках услуги можно создать несколько кластеров и учесть различные конфигурации. Подробно о том, как мы запускали KaaS — в нашей статье . Добавили образ OpenVPN для OpenStack платформы серверов. Он нужен для безопасного доступа к корпоративной инфраструктуре и работы с чувствительными данным. Подключается в несколько шагов, которые мы описали в этом посте . Обновили образ BitrixVM до CentOS Stream 9. Теперь он работает на современной и надежной ОС семейства Linux с датой поддержки до 31 мая 2027 года, а веб-окружение по-прежнему оптимизировано для быстрой работы продуктов 1С-Битрикс. Заказать образ с BitrixVM можно на нашем сайте. Сделали крутой кейс с компанией Ctrl2GO — многопрофильным разработчиком систем прогнозной аналитики. Мы предоставили Ctrl2GO облачную инфраструктуру для размещения данных и работы с Big Data, а также запустили в частном облаке объектное хранилище S3. Экономия превысила треть от исходных затрат заказчика на ИТ-инфраструктуру. Писали об этом в новости . Много чего исправили и доработали , например: усовершенствовали услуги KaaS и DBaaS, поработали над образами, улучшили UX/UI нашей платформы, — и это далеко не полный список.

https://habr.com/ru/companies/runity/articles/840494/

Создание интернет-магазина на компонентах: новый подход для быстрого выхода на рынок екома

В своей работе мы нацелены на то, чтобы экономить время и ресурсы разработки, и как следствие бюджеты клиентов. Поэтому мы создали собственную библиотеку готовых компонентов на Bitrix для модульной разработки типовых интернет-магазинов.

https://habr.com/ru/articles/828434/

Битрикс: от модулей к сервисам

Приветствую всех неравнодушных! Хочу поделиться с вами историей о том, как мы рефакторили код проекта на Битрикс под DDD архитектуру. Возможно кому-то это будет полезно, а возможно, и сам подчерпну что-то новое для себя.

https://habr.com/ru/articles/824946/

Новый комплексный подход к разработке в Bitrix на D7

В данной статье - покажу новый крутой подход к разработке сайтов на bitrix, который обеспечит легкость в поддержке и масштабируемости. Покажу как работать с bitrix cli внутри компонентов, покажу как писать тесты и browserlist, чтобы наш CSS и JS собирался согласно browserlist. Покажу как возвращать через ajax именно компоненты Bitrix с их стилями и скриптами. И напишем простой компонент на примере этого подхода.

https://habr.com/ru/articles/815439/

Frontend внутри Bitrix. Использование и написание экстеншенов + SPA приложение на Vue или React

В данной статье мы рассмотрим правильный подход к Frontend разработки в Bitrix. А именно разделение на расширения которые сможем подключать в любой момент времени. + напишем SPA приложение на React.

https://habr.com/ru/articles/810581/

Почему FilamentPHP — это хорошее решение для создания CMS

Привет, Хабр! Меня зовут Егор Черненок, я работаю PHP-разработчиком в AGIMA . В этой статье расскажу вам о FilamentPHP. В документации говорится , что это набор красивых Fullstack-компонентов для Laravel. От себя добавлю, что он отлично подходит для построения CMS. А теперь подробно объясню, почему это так.

https://habr.com/ru/companies/agima/articles/808811/

Магия транзакций в Bitrix: Как заставить ваши данные держаться как вкопанные

Сегодня мы поговорим о том, как использовать вложенные транзакции в Bitrix, чтобы обеспечить целостность данных. Транзакции - это ваша надежная магическое заклинание, которое гарантирует, что ваши множественные изменения в базе данных будут выполнены целиком или полностью отменены, если что-то пошло не так.

https://habr.com/ru/articles/775398/