Обращение к методам привилегированных модулей (PrivilegedModuleMethodCall)¶
| Тип | Поддерживаются языки |
Важность | Включена по умолчанию |
Время на исправление (мин) |
Теги |
|---|---|---|---|---|---|
Потенциальная уязвимость |
BSL |
Важный |
Да |
60 |
suspicious |
Параметры¶
| Имя | Тип | Описание | Значение по умолчанию |
|---|---|---|---|
validateNestedCalls |
Булево |
Проверять вложенные вызовы методов из привилегированных модулей |
true |
Описание диагностики¶
При обращении к публичным процедурам и функциям привилегированных общих модулей могут нарушаться ограничения конфигурации по правам и ролям конфигурации, решения 1С. Необходимо провалидировать подобные обращения для исключения обхода ограничений.
Примеры¶
Например, в конфигурации существует привилегированный модуль выполнения заданий с именем Задания.
В этом модуле есть публичная функция Функция ДобавитьЗадание(Знач ИмяМетода, Знач Параметры) Экспорт.
Какой-то код конфигурации или расширения обращается к этому методу Задания.ДобавитьЗадание("МетодДляВыполнения", Параметры);
Необходимо проанализировать код и убедиться в том, что:
- указан правильный метод для выполнения задания - МетодДляВыполнения
- метод МетодДляВыполнения для выполнения задания не выполняет деструктивных действий
- и не выдает пользователям данные, запрещенные ограничениями конфигурации
Источники¶
Сниппеты¶
Экранирование кода¶
// BSLLS:PrivilegedModuleMethodCall-off
// BSLLS:PrivilegedModuleMethodCall-on
Параметр конфигурационного файла¶
"PrivilegedModuleMethodCall": {
"validateNestedCalls": true
}