Есть задача проверить код 1С на безопасность. Проблема: анализатор видит только код ООП (C,C++,JAVA ... и еще xml). Как бы найти способ решения перевести выгрузку конфигурации (в txt сейчас) к читаемому виду?... Выгрузил метаданные: думаю, можно скормить анализатор... Хотя, не знаю, что мне это даст (ну проверит он мне на стандарт, ну и что...). Маловато будет... Есть у кого-нибудь сильные предложения?))

выключи компутер и иди пить пиво.
а то уже всякую фигню на форуме спрашивать начал

(1) Да похоже, он и так уже перебрал..

xml - это ооп-код???

(0) а что даст эта проверка кода?

нет, кроме ООП можно xml засунуть

(4) два вариана "Код безопасен" и "Код не безопасен"

(4) Сертификат

(0) http://ic.pics.livejournal.com/tema/339052/355712/355712_original.jpg

(5) какие критерии безопасности куска хмл-текста?

Я думаю, на стандарт проверяет.

(7) чо даст?

ДенисЧ, он, походу, точно перебрал =)

(11) Надо решать нестандартные задачи. Простые не интересно.

Есть сильные предложения? Фигня не приветствуется

(13) ты первый начал

В платформе есть транслятор из С++. ....

в свете (13) в (0) написана полная фигня.
ты ещё код на фокале в ооп переведи

1С - это надстройка над С, наверняка...

ну и к вопросу о сильных предложениях:
предложи алгоритм для УФ, необходимо на сервере создать несколько документов и, не сохраняя их, открыть формы этих документов на клиенте.
реализовывай =)

(17) продолжайте наблюдения

(15) ты шо курил?

(17) лолшто?!
а моя нетленка на паскале - это надстройка над дельфи? ооооок )))))

(0) бред

вот как можно нести околесицу, да еще ее на публику выносить
или автор - толстый трололо?

а анализировал кто-нибудь код 1С на безопасность?

на стандартные уязвимости в cve?

(24) код 1С неуязвим!!!

(24) вобщем порядке, каспером

(23)или здесь все такие умные и не знают про cve?))

(24) проанализируй! до тебя еще никто не делал

(28) я очень умный и я не знаю ни про какие цве

Пытаюсь представить 1с-инъекцию и плачу от смеха.

(30) и после этого ты осмеливаешься называть себя умным??? :-)

(31) ну поплачь)))
Пример
В данном примере рассматривается процедура получения учетных данных по идентификатору пользователя и паролю с использованием протокола LDAP .
Примечание: функции base64 и SHA не являются стандартными и должны быть реализованы отдельно.
&НаСервере
Функция АутентификацияLDAP(Логин, Пароль)
   Попытка
       АДОКоннектор = Новый COMОбъект("ADODB.Connection");
       АДОКоннектор.ConnectionString = "Provider=""ADsDSOObject""";
       АДОКоннектор.Properties("User ID").Value = Константы.ЛогинLDAP.Получить();
       АДОКоннектор.Properties("Password").Value = Константы.ПарольLDAP.Получить();
       АДОКоннектор.Open();
   Исключение
       Сообщить("Проблемы подключения к AD-серверу");
       Возврат Неопределено;
   КонецПопытки;
   ИмяДомена = "LDAPServer/ou=users,dc=domain,dc=com";
   ХэшПароля = base64(SHA1(Пароль));
   ТекстЗапроса="<LDAP://" + ИмяДомена + ">;
   |(&(uid=" + Логин + ")(objectClass=inetOrgPerson)
    |(userPassword={SHA}" + ХэшПароля + "));
   |ADsPath,objectClass,cn;subtree";
   
   ВыборкаАДО = АДОКоннектор.Execute(ТекстЗапроса);
   Пока ВыборкаАДО.EOF() = 0 Цикл
       //обработка результатов
       ВыборкаАДО.MoveNext();
   КонецЦикла    
КонецФункции
Из-за отсутствия проверки параметра Логин на наличие специальных символов языка запросов LDAP злоумышленник может реализовать следующую атаку:
Логин: *)(uid=*))(|(uid=*
Пароль: secret
При таком значении параметра фильтр LDAP-запроса будет состоять из двух частей:
1)    (&(uid=*)(uid=*)) – истинно для объектов с любым значением поля uid
2)    (|(uid=*)(objectClass=inetOrgPerson)(userPassword={SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=)) – истинно для объектов с любым значением поля uid, либо для объектов у которых поле objectClass имеет значение inetOrgPerson, и поле userPassword имеет значение {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=.
Таким образом, в выборку попадут все объекты с любым значением поля uid, и злоумышленник сможет обойти механизм аутентификации.

это не мои исследования... но, скорее всего, имеют место быть!...

(33) а где там код 1с?

это пример инъекции. есть и другие примеры...

(0) Если б можно было конвертировать всю конфу на яву, уже была бы создана "Open1С"

(36) это в твоей нетленке?

(33) проверил на семи конфигурациях. Не входит.

(37)   а вы думаете, такое нельзя сделать???? вопрос только, кто оплатит банкет

(39) есть люди, которые занимаются этими проблемами... видимо, не сегодня))

(38) нет, пример на анализ... этим уже кто-то занимался.

(33) это инъекция не в 1с, а в лдап.
не путай мягкое и тёплое

(43) этот код из конфигурации 1С- какая разница!

(44) перепиши этот код на vbscript и иди в другой форм моз ипать

(45)*мозг

(45) сам иди

(47) тебе в (43) ответили

бред

(44) ну ппц.
1С в данном случае - гаечный ключ, а твой ЛДАП - болт (например на 16).
Если болт откручивается гаечным любым гаечным ключом на 16 (алюеминевым, латунным, стальным) - (1С, ВБА, паскаль, фортран), то это значит, что болт уязвим для ключа, а не сам ключ. Ферштейн.
Блин, такие умности в (0) написаны, своим (33) прям разочаровал.

(50) этот кусок кода вручную был проанализирован, или есть какие-то анализаторы?

(44) это не имеет никакого отношения к коду 1с

(51) можно запустить на сервере 1с не под видуз ?

(51) запустить что?

(54) см (51)
мене пох, я Паниковский

(50) какие умности? Универсальных сканеров безопасности кода нет и быть не может

(56) есть и будут

(57) пример?

Я имею в виду сканеры для любых языков.

(58) могу лично просканировать

(44) Хорошо быть тупым! Эй чувак, ну ты чеее...

Надо проверить русский текст на орфографические ошибки. Есть программа, которая умеет проверять только английский текст. Как перевести русский текст на английский язык, чтобы проверить на наличие русских орфографических ошибок.

Памойму автор лизергином закинутый

(60) считай съехал)

Интересно, а такой код с точки зрения ООП безопасен

Платежка=ЗавестиИсходящееПП("Антигуа и Барбуда","Вася Пупкин ООО",СтоМильенов);
Платежка.СтатусКВыгрузкеВКлиентБанк=Готов;

(63) мне пох, один хрен ты только в аське понты гнуть

(65) о, а там какие-то понты были? Блажен кто верует)

Оберон должен быть разрушен.

(33)
> Из-за отсутствия проверки параметра Логин на наличие специальных символов языка запросов LDAP злоумышленник может реализовать следующую атаку:

Ха! Нафик это ему нужно, когда ему доступны на чтение константы ЛогинLDAP и ПарольLDAP.

(0) Выгрузи весь код в текст и сканируй на наличие конструкции
COMОбъект, а дальше руками
Но вообще кажись в восьмерке, а впрочем и в семерке тоже можно бинарник пртащить