Júlio Coutinho, profile picture
Carregado porJúlio Coutinho
300 visualizações

Blindando aplicações com CMS Joomla!

O documento discute técnicas para prevenir ataques cibernéticos em aplicações web com Joomla, incluindo fortalecer senhas, manter o sistema atualizado, usar plugins de segurança e configurar cabeçalhos HTTP apropriados. Ele também descreve os principais tipos de ataques observados, como força bruta, SQL injection e clickjacking.

Incorporar apresentação

Baixar para ler offline
PROCESSO & CULTURA • A maioria dos ataques observados ao longo de anos de consultoria poderiam ter sido evitados com atitudes preventivas do usuário.
CICLO DE DESENVOLVIMENTO • O desenvolvimento de um software é dividido em ciclos, a saber: 1. ALFA 2. BETA 3. UNSTABLE 4. RELEASE CANDIDATE 5. STABLE
QUAL A MELHOR PREVENÇÃO • Em mar de ORCA não seja a FOCA
TIPOS DE ATAQUES • Os ataques mais frequentes observados à aplicações web com Joomla, foram: 1. Força Bruta 2. Meta-Generator 3. SQL Injection 4. Directory Scanning 5. Clickjacking
COMO BLINDAR? • Técnicas simples para blindar sua aplicação web com Joomla: 1. Força Bruta • Encapsulamento do /administrator • Usuário != admin • Senha forte (Letras maiúsculas e minúsculas, caracteres especiais e números) • Exemplo de senha forte: F!@M3nG0
MINIMIZE A INSTALAÇÃO DE EXTENSÕES DE TERCEIROS 2. Meta-Generator • Plugin bye bye Generator – Customização ou remoção.
MANTENHA O JOOMLA ATUALIZADO 3. SQL Injection • Plugin Marco’s SQL Injection - Rastreamento de ataques com bloqueio de IP e aviso por e- mail. • Plugin Adminer – Gerenciamento do BD no back-end.
NÃO USE TEMPLATES PIRATAS 4. Directory Scanning • Usar arquivo index.html em branco na raiz dos diretórios que você criou. • Manter os diretórios com permissão 0755 • Manter os arquivos com permissão 0644 • Para o arquivo configuration.php pode-se aplicar uma restrição maior. Ex: 0444
NÃO ABRA OU CLIQUE EM LINKS DE E-MAILS DESCONHECIDOS 5. Clickjacking • Inserir na primeira linha do arquivo index.php que está na raiz da aplicação Joomla, o código seguinte: Header(‘X-Frame-Options:SAMEORIGIN’); • Se quiser configurar o apache server para enviar o cabeçalho X-frame-Options para todas as páginas, adicione a configuração do seu site: #Ln- sf/ etc/apache2/mods-available/headers.load /etc/apache2/mods-enabled/headers.load
DOR DE CABEÇA SÓ POR ABRIR O E-MAIL DESCONHECIDO • No arquivo apache2.conf, adicione a seguinte entrada: Header always append X-Frame- Options SAMEORIGIN
VALORES X-Frame-Options:NEGAR, SAMEORIGIN E ALLOW-FROM uri • NEGAR – A página não pode ser exibida em um <iframe></iframe>, independente do local que tenta executá-lo • SAMEORIGIN- A página só pode ser exibida em um <iframe></iframe>, sobre a mesma origem que a própria página • ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe>, sobre a origem especificada
SEJA UMA FOCA EXPERTA PRÁTICA NOW
CONTATOS

Mais conteúdo relacionado

PDF
Wordpress e suas funções
porDaniel Marcos
 
PDF
Blindando o site Joomla!
porJúlio Coutinho
 
PDF
Seu Joomla está seguro?
porJúlio Coutinho
 
PDF
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
porwordcamppoa
 
PPT
Curso de Joomla!
porDanilo Barros Andrade
 
PPTX
Joomla
porRicardo Sotnas
 
PPTX
Joomla, o que é? Para que serve?
porBull Marketing
 
PPTX
Criando sites dinâmicos com joomla! - Campus Party Recife 2013
porJennifer Payne
 
Wordpress e suas funções
porDaniel Marcos
 
Blindando o site Joomla!
porJúlio Coutinho
 
Seu Joomla está seguro?
porJúlio Coutinho
 
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
porwordcamppoa
 
Curso de Joomla!
porDanilo Barros Andrade
 
Joomla
porRicardo Sotnas
 
Joomla, o que é? Para que serve?
porBull Marketing
 
Criando sites dinâmicos com joomla! - Campus Party Recife 2013
porJennifer Payne
 

Mais procurados

PDF
Instalando e configurando o WordPress localmente
porHaste Design
 
PPS
Site profissional em wordpress - emerson01@gmail
porEmersonGonalves43
 
PPT
Wordpress - Gerenciamento de Blogs e sites - Aula 1
porSaulo Matias
 
PPTX
Guia de Segurança para WordPress
porSucuri
 
PDF
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
porLeandrinho Vieira
 
PPTX
Qualitypress - Segurança em Aplicações Web com PHP
porQuality Press
 
PPTX
WordPress Braga Meetup - Segurança, Performance e Optimização
porTeotonio Leiras
 
PPTX
WordPress - Segurança, Performance e Optimização
porwebtugahosting
 
ODP
Joomla 3.0 - Novidades sobre a versão
porBule Comunicação
 
PPTX
Joomla
pornasjo
 
PPTX
Criando Sites Dinamicos com Joomla php
porJackson Meires
 
PDF
Workshop (Mozilla Party) Desenvolvendo Extensões para o Firefox 3.0
porguest2160e8
 
PDF
WordPress - Faça seu blog ficar seguro!
porGustavo Silva Bordoni
 
PDF
Treinamento de Wordpress versão 3.1 (1 de 3)
porwvtodoz
 
PDF
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
porwordcamppoa
 
PPT
Joomla privillege escalation vulnerability
pormixlol
 
PDF
Trevisan - Educação Executiva em Redes Sociais - Aulas 28 e 29
porLuciano Palma
 
PDF
WordPress 4.6 Pepper
porCamila Rodrigues
 
PPT
Como Se Logar No Sistema
porWilliam Silva
 
Instalando e configurando o WordPress localmente
porHaste Design
 
Site profissional em wordpress - emerson01@gmail
porEmersonGonalves43
 
Wordpress - Gerenciamento de Blogs e sites - Aula 1
porSaulo Matias
 
Guia de Segurança para WordPress
porSucuri
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
porLeandrinho Vieira
 
Qualitypress - Segurança em Aplicações Web com PHP
porQuality Press
 
WordPress Braga Meetup - Segurança, Performance e Optimização
porTeotonio Leiras
 
WordPress - Segurança, Performance e Optimização
porwebtugahosting
 
Joomla 3.0 - Novidades sobre a versão
porBule Comunicação
 
Joomla
pornasjo
 
Criando Sites Dinamicos com Joomla php
porJackson Meires
 
Workshop (Mozilla Party) Desenvolvendo Extensões para o Firefox 3.0
porguest2160e8
 
WordPress - Faça seu blog ficar seguro!
porGustavo Silva Bordoni
 
Treinamento de Wordpress versão 3.1 (1 de 3)
porwvtodoz
 
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
porwordcamppoa
 
Joomla privillege escalation vulnerability
pormixlol
 
Trevisan - Educação Executiva em Redes Sociais - Aulas 28 e 29
porLuciano Palma
 
WordPress 4.6 Pepper
porCamila Rodrigues
 
Como Se Logar No Sistema
porWilliam Silva
 

Semelhante a Blindando aplicações com CMS Joomla!

PDF
Pentest em aplicações web (Daniel Moreno) (By- Slayer).pdf
porxererenhosdominaram
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Segurança Web com PHP5
porDouglas V. Pasqua
 
PDF
Trabalho google hacking_v1.4_final
porRosan Tavares
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
Joomla possibilidades infinitas em CMS
porFelipe Perin
 
PPT
Joomla Day Brasil 2010: Customizações para grandes portais
porrafaelberlanda
 
PDF
Top Plugins de Segurança para WordPress
porTales Augusto
 
PPTX
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
KEY
Segurança & Ruby on Rails
porJulio Monteiro
 
PDF
"Hacking+PHP"
porErick Belluci Tedeschi
 
PDF
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
porAs Zone
 
PDF
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
porThiago Dieb
 
PDF
OWASP Top 10 - A web security cookbook
porGiovane Liberato
 
PPSX
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
PPTX
iMasters Intercon Dev WordPress - Segurança em WordPress
porErick Belluci Tedeschi
 
PPTX
Erick Belluci Tedeschi - Segurança em WordPress
poriMasters
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
Criando sites com joomla: da instalação à publicação online em minutos! #cpbr11
porAriadne Pinheiro
 
PDF
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
porJúlio Coutinho
 
Pentest em aplicações web (Daniel Moreno) (By- Slayer).pdf
porxererenhosdominaram
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança Web com PHP5
porDouglas V. Pasqua
 
Trabalho google hacking_v1.4_final
porRosan Tavares
 
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Joomla possibilidades infinitas em CMS
porFelipe Perin
 
Joomla Day Brasil 2010: Customizações para grandes portais
porrafaelberlanda
 
Top Plugins de Segurança para WordPress
porTales Augusto
 
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
Segurança & Ruby on Rails
porJulio Monteiro
 
"Hacking+PHP"
porErick Belluci Tedeschi
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
porAs Zone
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
porThiago Dieb
 
OWASP Top 10 - A web security cookbook
porGiovane Liberato
 
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
iMasters Intercon Dev WordPress - Segurança em WordPress
porErick Belluci Tedeschi
 
Erick Belluci Tedeschi - Segurança em WordPress
poriMasters
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Criando sites com joomla: da instalação à publicação online em minutos! #cpbr11
porAriadne Pinheiro
 
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
porJúlio Coutinho
 

Mais de Júlio Coutinho

PDF
O que é um template?
porJúlio Coutinho
 
PDF
Seu website Joomla está sob ataque? Defenda-se!
porJúlio Coutinho
 
PDF
Case Infraero #jdbr12
porJúlio Coutinho
 
PDF
ACL no Joomla! 3 - Criando uma regra na prática
porJúlio Coutinho
 
PDF
Descobrindo o Joomla! 3.2
porJúlio Coutinho
 
PDF
Por quê usar Joomla?
porJúlio Coutinho
 
PDF
Blindando o Joomla no II Encontro de TI do 7 CTA
porJúlio Coutinho
 
PDF
Joomla! e Fabrik - Comando e Controle no Haiti
porJúlio Coutinho
 
O que é um template?
porJúlio Coutinho
 
Seu website Joomla está sob ataque? Defenda-se!
porJúlio Coutinho
 
Case Infraero #jdbr12
porJúlio Coutinho
 
ACL no Joomla! 3 - Criando uma regra na prática
porJúlio Coutinho
 
Descobrindo o Joomla! 3.2
porJúlio Coutinho
 
Por quê usar Joomla?
porJúlio Coutinho
 
Blindando o Joomla no II Encontro de TI do 7 CTA
porJúlio Coutinho
 
Joomla! e Fabrik - Comando e Controle no Haiti
porJúlio Coutinho
 

Blindando aplicações com CMS Joomla!

  • 2.
    PROCESSO & CULTURA •A maioria dos ataques observados ao longo de anos de consultoria poderiam ter sido evitados com atitudes preventivas do usuário.
  • 3.
    CICLO DE DESENVOLVIMENTO •O desenvolvimento de um software é dividido em ciclos, a saber: 1. ALFA 2. BETA 3. UNSTABLE 4. RELEASE CANDIDATE 5. STABLE
  • 4.
    QUAL A MELHORPREVENÇÃO • Em mar de ORCA não seja a FOCA
  • 5.
    TIPOS DE ATAQUES •Os ataques mais frequentes observados à aplicações web com Joomla, foram: 1. Força Bruta 2. Meta-Generator 3. SQL Injection 4. Directory Scanning 5. Clickjacking
  • 6.
    COMO BLINDAR? • Técnicassimples para blindar sua aplicação web com Joomla: 1. Força Bruta • Encapsulamento do /administrator • Usuário != admin • Senha forte (Letras maiúsculas e minúsculas, caracteres especiais e números) • Exemplo de senha forte: F!@M3nG0
  • 7.
    MINIMIZE A INSTALAÇÃODE EXTENSÕES DE TERCEIROS 2. Meta-Generator • Plugin bye bye Generator – Customização ou remoção.
  • 8.
    MANTENHA O JOOMLAATUALIZADO 3. SQL Injection • Plugin Marco’s SQL Injection - Rastreamento de ataques com bloqueio de IP e aviso por e- mail. • Plugin Adminer – Gerenciamento do BD no back-end.
  • 9.
    NÃO USE TEMPLATESPIRATAS 4. Directory Scanning • Usar arquivo index.html em branco na raiz dos diretórios que você criou. • Manter os diretórios com permissão 0755 • Manter os arquivos com permissão 0644 • Para o arquivo configuration.php pode-se aplicar uma restrição maior. Ex: 0444
  • 10.
    NÃO ABRA OUCLIQUE EM LINKS DE E-MAILS DESCONHECIDOS 5. Clickjacking • Inserir na primeira linha do arquivo index.php que está na raiz da aplicação Joomla, o código seguinte: Header(‘X-Frame-Options:SAMEORIGIN’); • Se quiser configurar o apache server para enviar o cabeçalho X-frame-Options para todas as páginas, adicione a configuração do seu site: #Ln- sf/ etc/apache2/mods-available/headers.load /etc/apache2/mods-enabled/headers.load
  • 11.
    DOR DE CABEÇASÓ POR ABRIR O E-MAIL DESCONHECIDO • No arquivo apache2.conf, adicione a seguinte entrada: Header always append X-Frame- Options SAMEORIGIN
  • 12.
    VALORES X-Frame-Options:NEGAR, SAMEORIGIN EALLOW-FROM uri • NEGAR – A página não pode ser exibida em um <iframe></iframe>, independente do local que tenta executá-lo • SAMEORIGIN- A página só pode ser exibida em um <iframe></iframe>, sobre a mesma origem que a própria página • ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe>, sobre a origem especificada
  • 13.
    SEJA UMA FOCAEXPERTA PRÁTICA NOW
  • 14.