SlideShare uma empresa Scribd logo

Analisar a Segurança dos Principais CMS

ISCTE
ISCTE
EducaçãoTecnologia
1 de 10
Baixar para ler offline
O CMS SEGURO www.company.com
RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
Analise www.company.com
Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com

Recomendados

Apache Maven
Apache MavenApache Maven
Apache Maveneurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swingJamille Madureira
 
JUnit
JUnitJUnit
JUniteurosigdoc acm
 
Selenium
SeleniumSelenium
Seleniumeurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEBCodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no WordpressRoger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosRamon Durães
 

Recomendados

Apache Maven
Apache MavenApache Maven
Apache Maveneurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swingJamille Madureira
 
JUnit
JUnitJUnit
JUniteurosigdoc acm
 
Selenium
SeleniumSelenium
Seleniumeurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEBCodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no WordpressRoger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosRamon Durães
 
Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via InternetAVEVA
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4Fabiano Weimar
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de SoftwareSaulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous DeliveryJaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluigpinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de softwaremayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic SystemMarco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCVinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework springBruno Catão
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello WorldRafael Pacheco
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Webtdc-globalcode
 
Selenium
SeleniumSelenium
SeleniumDanilo Porcelani
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de AjaxHanderson Frota
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaCDS
 
Vir306
Vir306Vir306
Vir306Vinícius Apolinário
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06Édipo Daniel Aragão
 
Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacyISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedoresISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSSISCTE
 

Mais conteúdo relacionado

Mais procurados

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via InternetAVEVA
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de SoftwareSaulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous DeliveryJaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluigpinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de softwaremayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic SystemMarco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCVinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework springBruno Catão
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Webtdc-globalcode
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaCDS
 

Mais procurados (18)

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via Internet
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de software
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic System
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSC
 
O framework spring
O framework springO framework spring
O framework spring
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Web
 
Selenium
SeleniumSelenium
Selenium
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS)
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresa
 
Vir306
Vir306Vir306
Vir306
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06
 

Destaque

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacyISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedoresISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSSISCTE
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico CientificasISCTE
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes LinuxISCTE
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJISCTE
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEISCTE
 

Destaque (8)

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacy
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IUL
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedores
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSS
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico Cientificas
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes Linux
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJ
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTE
 

Semelhante a Analisar a Segurança dos Principais CMS

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes AutomatizadosSamanta Cicilia
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTiago Antônio da Silva
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração ContínuaScrumHalf Tool
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous DeliverySamanta Cicilia
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...minastestingconference
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsSamanta Cicilia
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHPFlávio Lisboa
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoRegis Machado
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorAllyson Barros
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = ProdutividadeAdriano Bertucci
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Adriano Bertucci
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8claudio alfonso
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Frederico Garcia Costa
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122Bruno Souza
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosRafael Chaves
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeAndré Abe Vicente
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroAndré Luís Cardoso
 

Semelhante a Analisar a Segurança dos Principais CMS (20)

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração Contínua
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery
 
Web tools pt-br
Web tools pt-brWeb tools pt-br
Web tools pt-br
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOps
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHP
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
 
Web Tools Pt Br
Web Tools Pt BrWeb Tools Pt Br
Web Tools Pt Br
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
 
Precisa testar? - Parte 1
Precisa testar? - Parte 1Precisa testar? - Parte 1
Precisa testar? - Parte 1
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutos
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 

Último

As Viagens Missionária do Apostolo Paulo.pptx
As Viagens Missionária do Apostolo Paulo.pptxAs Viagens Missionária do Apostolo Paulo.pptx
As Viagens Missionária do Apostolo Paulo.pptxAlexandreFrana33
 
Educação São Paulo centro de mídias da SP
Educação São Paulo centro de mídias da SPEducação São Paulo centro de mídias da SP
Educação São Paulo centro de mídias da SPanandatss1
 
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSO
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSOVALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSO
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSOBiatrizGomes1
 
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptx
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptxSlides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptx
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptxLuizHenriquedeAlmeid6
 
Guia completo da Previdênci a - Reforma .pdf
Guia completo da Previdênci a - Reforma .pdfGuia completo da Previdênci a - Reforma .pdf
Guia completo da Previdênci a - Reforma .pdfEyshilaKelly1
 
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptx
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptxSlides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptx
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptxLuizHenriquedeAlmeid6
 
Prática de interpretação de imagens de satélite no QGIS
Prática de interpretação de imagens de satélite no QGISPrática de interpretação de imagens de satélite no QGIS
Prática de interpretação de imagens de satélite no QGISVitor Vieira Vasconcelos
 
Geometria 5to Educacion Primaria EDU Ccesa007.pdf
Geometria 5to Educacion Primaria EDU Ccesa007.pdfGeometria 5to Educacion Primaria EDU Ccesa007.pdf
Geometria 5to Educacion Primaria EDU Ccesa007.pdfDemetrio Ccesa Rayme
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasCasa Ciências
 
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdf
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdfBRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdf
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdfHenrique Pontes
 
Empreendedorismo: O que é ser empreendedor?
Empreendedorismo: O que é ser empreendedor?Empreendedorismo: O que é ser empreendedor?
Empreendedorismo: O que é ser empreendedor?MrciaRocha48
 
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANO
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANOInvestimentos. EDUCAÇÃO FINANCEIRA 8º ANO
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANOMarcosViniciusLemesL
 
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdf
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdfPLANEJAMENTO anual do 3ANO fundamental 1 MG.pdf
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdfProfGleide
 
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptx
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptxSlide de exemplo sobre o Sítio do Pica Pau Amarelo.pptx
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptxconcelhovdragons
 
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNAS
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNASQUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNAS
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNASEdinardo Aguiar
 
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024HORA DO CONTO4_BECRE D. CARLOS I_2023_2024
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024Sandra Pratas
 
Currículo escolar na perspectiva da educação inclusiva.pdf
Currículo escolar na perspectiva da educação inclusiva.pdfCurrículo escolar na perspectiva da educação inclusiva.pdf
Currículo escolar na perspectiva da educação inclusiva.pdfIedaGoethe
 
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdf
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdfDIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdf
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdfIedaGoethe
 
Aula 13 8º Ano Cap.04 Revolução Francesa.pptx
Aula 13 8º Ano Cap.04 Revolução Francesa.pptxAula 13 8º Ano Cap.04 Revolução Francesa.pptx
Aula 13 8º Ano Cap.04 Revolução Francesa.pptxBiancaNogueira42
 

Último (20)

As Viagens Missionária do Apostolo Paulo.pptx
As Viagens Missionária do Apostolo Paulo.pptxAs Viagens Missionária do Apostolo Paulo.pptx
As Viagens Missionária do Apostolo Paulo.pptx
 
Educação São Paulo centro de mídias da SP
Educação São Paulo centro de mídias da SPEducação São Paulo centro de mídias da SP
Educação São Paulo centro de mídias da SP
 
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSO
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSOVALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSO
VALORES HUMANOS NA DISCIPLINA DE ENSINO RELIGIOSO
 
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptx
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptxSlides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptx
Slides Lição 2, Central Gospel, A Volta Do Senhor Jesus , 1Tr24.pptx
 
Guia completo da Previdênci a - Reforma .pdf
Guia completo da Previdênci a - Reforma .pdfGuia completo da Previdênci a - Reforma .pdf
Guia completo da Previdênci a - Reforma .pdf
 
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptx
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptxSlides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptx
Slides Lição 4, CPAD, Como se Conduzir na Caminhada, 2Tr24.pptx
 
Prática de interpretação de imagens de satélite no QGIS
Prática de interpretação de imagens de satélite no QGISPrática de interpretação de imagens de satélite no QGIS
Prática de interpretação de imagens de satélite no QGIS
 
Geometria 5to Educacion Primaria EDU Ccesa007.pdf
Geometria 5to Educacion Primaria EDU Ccesa007.pdfGeometria 5to Educacion Primaria EDU Ccesa007.pdf
Geometria 5to Educacion Primaria EDU Ccesa007.pdf
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de Partículas
 
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdf
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdfBRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdf
BRASIL - DOMÍNIOS MORFOCLIMÁTICOS - Fund 2.pdf
 
Empreendedorismo: O que é ser empreendedor?
Empreendedorismo: O que é ser empreendedor?Empreendedorismo: O que é ser empreendedor?
Empreendedorismo: O que é ser empreendedor?
 
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANO
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANOInvestimentos. EDUCAÇÃO FINANCEIRA 8º ANO
Investimentos. EDUCAÇÃO FINANCEIRA 8º ANO
 
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdf
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdfPLANEJAMENTO anual do 3ANO fundamental 1 MG.pdf
PLANEJAMENTO anual do 3ANO fundamental 1 MG.pdf
 
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptx
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptxSlide de exemplo sobre o Sítio do Pica Pau Amarelo.pptx
Slide de exemplo sobre o Sítio do Pica Pau Amarelo.pptx
 
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNAS
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNASQUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNAS
QUIZ DE MATEMATICA SHOW DO MILHÃO PREPARAÇÃO ÇPARA AVALIAÇÕES EXTERNAS
 
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024HORA DO CONTO4_BECRE D. CARLOS I_2023_2024
HORA DO CONTO4_BECRE D. CARLOS I_2023_2024
 
Currículo escolar na perspectiva da educação inclusiva.pdf
Currículo escolar na perspectiva da educação inclusiva.pdfCurrículo escolar na perspectiva da educação inclusiva.pdf
Currículo escolar na perspectiva da educação inclusiva.pdf
 
treinamento brigada incendio 2024 no.ppt
treinamento brigada incendio 2024 no.ppttreinamento brigada incendio 2024 no.ppt
treinamento brigada incendio 2024 no.ppt
 
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdf
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdfDIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdf
DIA DO INDIO - FLIPBOOK PARA IMPRIMIR.pdf
 
Aula 13 8º Ano Cap.04 Revolução Francesa.pptx
Aula 13 8º Ano Cap.04 Revolução Francesa.pptxAula 13 8º Ano Cap.04 Revolução Francesa.pptx
Aula 13 8º Ano Cap.04 Revolução Francesa.pptx
 

Analisar a Segurança dos Principais CMS

  • 1. O CMS SEGURO www.company.com
  • 2. RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
  • 3. Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
  • 4. Analise www.company.com
  • 5. Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
  • 6. Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
  • 7. Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
  • 8. Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
  • 9. Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
  • 10. Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com