Пример
Вы (администратор) выдали подрядчику вебхук с правами на CRM. Так как у Вас максимальные права в системе, то в разделе CRM можно читать, изменять, добавлять информацию и править настройки. Подрядчик используя знания языка программирования за один час полностью скопировал всю CRM себе и в режиме живого времени стал загружать новую информацию.
Список подозрительных запросов
- crm.lead.list - чтение базы лидов по 50 лидов за раз
- crm.lead.get - чтение конкретного лида
- crm.deal.list - чтение базы сделок по 50 сделок за раз
- crm.deal.get - чтение конкретной сделки
- crm.contact.list - чтение базы контактов по 50 сделок за раз
- crm.contact.get - чтение конкретного контакта
- batch - упаковка запросов, может содержать в себе 50 любых запросов, в том числе и запросов написанных выше
Решение
- Перейти на передачу заявок через отправку данных на формы Битрикс24 (рекомендуемый);
- Выдавать вебхуки из-под специального пользователя.
#безопасностьбитрикс24
