2. JÚLIO COUTINHO
@COUT45
• Graduado webdesign e programação
• Especialista em Engenharia de Sistemas
• Militar EB - Webmaster Gab Cmt Ex
• Criador e mantenedor joomlabrasilia.org
• Autor Guia Consulta Joomla!3
6. • Força bruta - "A maioria dos ataques de força-bruta
que alcançam sucesso não variam tanto como a senha
do usuário."
• Sql Injection - uma das formas mais comuns e efetivas
de ataques à aplicações web. Operações CRUD não
autorizadas.
• Directory Scanning - exploração de diretórios.
• Acesso direto - tentativa de abrir determinado
arquivo abrindo uma backdoor.
• DoS - Denial of Service (negação de serviço).
7. • Clickjacking - cria formulários invisíveis para
capturar usuário e senha. Inicializados por
Trojans presentes em links recebidos nos
emails.
• Malware - infecta o site com objetivo de
gerar tráfego em ataques DoS, spam e etc.
(*) Aviso no navegador
8. WEBSCARAB
• Softwares para testes de
segurança e/ou ataques com
processos automatizados, desde
defacement, passando por roubo
de dados e destruição de
diretórios e arquivos.
• OWASP WebScarab Project
• https://www.owasp.org/index.php/
Category:OWASP_WebScarab_P
roject
11. • Força bruta
• Usuário de administração != admin
• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres
especiais)
• Directory Scanning
• Arquivo em branco (index.html) na raiz de todos os diretórios
• Sql Injection
• ID Super User randômica (Joomla 3 +)
• Prefixo de tabela randômico (Joomla 3+)
12. • Acesso Direto
• _JEXEC
• comp, mod, plg e tmpl
• defined('_JEXEC') or die;
• DOS
• Desligue a máquina
• Clickjacking
• header('X-Frame-Options: SAMEORIGIN');
14. MALWARE
• Depende exclusivamente do
usuário
• Alto índice de retorno de
ataque
• FTP usando SO Windows
• O elo fraco da segurança são
as pessoas. (Kevin Mitnick)
16. 1.Atualização versão CMS Joomla
2.Não usar templates piratas
3.Permissões ( Diretórios = 755 Arquivos = 644)
4.Alteração dos dados do Super admin
5.Url's amigáveis
6.Minimizar a instalação de extensões de terceiros
7.Regras de segurança no .htaccess
8.Desabilitar relatórios de erros
18. • Admin Exile - plugin para encapsulamento do /
administrator
• Bye Bye Generator - plugin para remoção/customização
da meta-Generator
• Browse Update Warning - plugin para atualização do
navegador
• Akeeba Backup - componente para Backup e
recuperação
• JJAntispam - plugin preventivo de spam durante registro e
login