SlideShare uma empresa Scribd logo

Analisar a Segurança dos Principais CMS

ISCTE
ISCTE
EducaçãoTecnologia
1 de 10
Baixar para ler offline
O CMS SEGURO www.company.com
RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
Analise www.company.com
Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com

Recomendados

Apache Maven
Apache MavenApache Maven
Apache Maveneurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swingJamille Madureira
 
JUnit
JUnitJUnit
JUniteurosigdoc acm
 
Selenium
SeleniumSelenium
Seleniumeurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEBCodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no WordpressRoger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosRamon Durães
 

Recomendados

Apache Maven
Apache MavenApache Maven
Apache Maveneurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swingJamille Madureira
 
JUnit
JUnitJUnit
JUniteurosigdoc acm
 
Selenium
SeleniumSelenium
Seleniumeurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEBCodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no WordpressRoger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosRamon Durães
 
Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via InternetAVEVA
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4Fabiano Weimar
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de SoftwareSaulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous DeliveryJaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluigpinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de softwaremayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic SystemMarco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCVinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework springBruno Catão
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello WorldRafael Pacheco
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Webtdc-globalcode
 
Selenium
SeleniumSelenium
SeleniumDanilo Porcelani
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de AjaxHanderson Frota
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaCDS
 
Vir306
Vir306Vir306
Vir306Vinícius Apolinário
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06Édipo Daniel Aragão
 
Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacyISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedoresISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSSISCTE
 

Mais conteúdo relacionado

Mais procurados

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via InternetAVEVA
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de SoftwareSaulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous DeliveryJaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluigpinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de softwaremayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic SystemMarco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCVinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework springBruno Catão
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Webtdc-globalcode
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaCDS
 

Mais procurados (18)

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via Internet
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de software
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic System
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSC
 
O framework spring
O framework springO framework spring
O framework spring
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Web
 
Selenium
SeleniumSelenium
Selenium
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS)
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresa
 
Vir306
Vir306Vir306
Vir306
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06
 

Destaque

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacyISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedoresISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSSISCTE
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico CientificasISCTE
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes LinuxISCTE
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJISCTE
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEISCTE
 

Destaque (8)

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacy
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IUL
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedores
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSS
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico Cientificas
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes Linux
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJ
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTE
 

Semelhante a Analisar a Segurança dos Principais CMS

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes AutomatizadosSamanta Cicilia
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTiago Antônio da Silva
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração ContínuaScrumHalf Tool
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous DeliverySamanta Cicilia
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...minastestingconference
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsSamanta Cicilia
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHPFlávio Lisboa
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoRegis Machado
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorAllyson Barros
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = ProdutividadeAdriano Bertucci
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Adriano Bertucci
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8claudio alfonso
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Frederico Garcia Costa
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122Bruno Souza
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosRafael Chaves
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeAndré Abe Vicente
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroAndré Luís Cardoso
 

Semelhante a Analisar a Segurança dos Principais CMS (20)

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração Contínua
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery
 
Web tools pt-br
Web tools pt-brWeb tools pt-br
Web tools pt-br
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOps
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHP
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
 
Web Tools Pt Br
Web Tools Pt BrWeb Tools Pt Br
Web Tools Pt Br
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
 
Precisa testar? - Parte 1
Precisa testar? - Parte 1Precisa testar? - Parte 1
Precisa testar? - Parte 1
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutos
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 

Último

PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESEduardaReis50
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfWagnerCamposCEA
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxLuizHenriquedeAlmeid6
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfprofesfrancleite
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfAna Lemos
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfHELENO FAVACHO
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfEmanuel Pio
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...IsabelPereira2010
 
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamentalAntônia marta Silvestre da Silva
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 
Revolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesRevolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesFabianeMartins35
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdfLeloIurk1
 
Discurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxDiscurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxferreirapriscilla84
 
Slides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxSlides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxMauricioOliveira258223
 
Ficha de trabalho com palavras- simples e complexas.pdf
Ficha de trabalho com palavras- simples e complexas.pdfFicha de trabalho com palavras- simples e complexas.pdf
Ficha de trabalho com palavras- simples e complexas.pdfFtimaMoreira35
 

Último (20)

Bullying, sai pra lá
Bullying, sai pra láBullying, sai pra lá
Bullying, sai pra lá
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕESCOMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
COMPETÊNCIA 4 NO ENEM: O TEXTO E SUAS AMARRACÕES
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
 
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdfPRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
PRÉDIOS HISTÓRICOS DE ASSARÉ Prof. Francisco Leite.pdf
 
A QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdfA QUATRO MÃOS - MARILDA CASTANHA . pdf
A QUATRO MÃOS - MARILDA CASTANHA . pdf
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
 
Historia da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdfHistoria da Arte europeia e não só. .pdf
Historia da Arte europeia e não só. .pdf
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
 
Aula sobre o Imperialismo Europeu no século XIX
Aula sobre o Imperialismo Europeu no século XIXAula sobre o Imperialismo Europeu no século XIX
Aula sobre o Imperialismo Europeu no século XIX
 
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 
Revolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividadesRevolução russa e mexicana. Slides explicativos e atividades
Revolução russa e mexicana. Slides explicativos e atividades
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
 
Discurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptxDiscurso Direto, Indireto e Indireto Livre.pptx
Discurso Direto, Indireto e Indireto Livre.pptx
 
Slides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptxSlides sobre as Funções da Linguagem.pptx
Slides sobre as Funções da Linguagem.pptx
 
Ficha de trabalho com palavras- simples e complexas.pdf
Ficha de trabalho com palavras- simples e complexas.pdfFicha de trabalho com palavras- simples e complexas.pdf
Ficha de trabalho com palavras- simples e complexas.pdf
 

Analisar a Segurança dos Principais CMS

  • 1. O CMS SEGURO www.company.com
  • 2. RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
  • 3. Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
  • 4. Analise www.company.com
  • 5. Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
  • 6. Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
  • 7. Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
  • 8. Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
  • 9. Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
  • 10. Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com