Current File : //home/bitrix/www/bitrix/modules/main/lang/ru/admin/checklist/QSEC0040.html
<p>Нередко во время разработки решения на платформе Bitrix Framework разработчики и тестировщики создают тестовые учетные записи типа "test/123456" с административными правами, тестовые группы с высокими привилегиями. Создаются и тестовые страницы типа "test.php", выводящие, например, список сумм на лицевых счетах Покупателей, информацию о конфигурации системы и другую внутреннюю информацию. Иногда создаются страницы, при заходе на которые пользователь, без ввода пароля, становится администратором. Или разработчики для упрощения отладки в коде проекта вставляют инструкции, отправляющие им на личный email информацию и данные о работе и ошибках и т.п.</p>
<p>Очень важно удалить временные учетные записи со слабыми паролями и тестовые страницы перед вводом решения в эксплуатацию - чтобы ими не воспользовались злоумышленники. </p>
<ol>
<li>Проверить отсутствие тестовых учетных записей и групп.</li>
<li>Проверить, чтобы у оставшихся "не тестовых" учетных записей были "сильные" пароли, длиной не менее 8 символов и состоящие из букв разного регистра, цифр и знаков препинания.</li>
<li>Проверить отсутствие тестовых страниц и файлов.</li>
</ol>
Mini Shell