Apresentação "O CMS Seguro"

871 visualizações

Publicada em

Publicada em: Educação, Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
871
No SlideShare
0
A partir de incorporações
0
Número de incorporações
37
Ações
Compartilhamentos
0
Downloads
5
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Apresentação "O CMS Seguro"

  1. 1. O CMS SEGURO www.company.com
  2. 2. RESUMO• Qual dos projectos existentes é o mais seguro• Analise de vulnerabilidades existentes• Tool de Analise• Conclusão www.company.com
  3. 3. Escolha do CMS• Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
  4. 4. Analise www.company.com
  5. 5. Vulnerabilidades• XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007• SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
  6. 6. Vulnerabilidades• SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009• Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009• Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
  7. 7. Vulnerabilidades• SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009• Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
  8. 8. Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar• vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t• Devolve o id exemplo OSVDB-3092• The Open Source Vulnerability Database http://www.osvdb.org• alerta e ajuda a corrigir www.company.com
  9. 9. Conclusão• -É Positivo reportar / alertar as falhas que sejam encontradas• -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções• -Não divulgar é uma má pratica e prejudica a evolução do projecto•• -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões• ->Principalmente nos componentes comerciais• -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software,• metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
  10. 10. Perguntas? Obrigado! Contacto Rui Figueiredorui.figueiredo@gmail.com www.company.com

×