JÚLIO COUTINHO
@COUT45
• Graduado webdesign e programação
• Especialista em Engenharia de Sistemas
• Militar EB - Webmaste...
SEU SITE SEGURO, BOAS
PRÁTICAS DE SEGURANÇA.
TIPOS DE ATAQUES
• Força bruta - "A maioria dos ataques de força-bruta
que alcançam sucesso não variam tanto como a senha
do usuário."
• Sq...
• Clickjacking - cria formulários invisíveis para
capturar usuário e senha. Inicializados por
Trojans presentes em links r...
WEBSCARAB
• Softwares para testes de
segurança e/ou ataques com
processos automatizados, desde
defacement, passando por ro...
JOOMSCAN
BLINDANDO O SEU SITE
• Força bruta 
• Usuário de administração != admin
• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres
especia...
• Acesso Direto
• _JEXEC 
• comp, mod, plg e tmpl
• defined('_JEXEC') or die;
• DOS
• Desligue a máquina
• Clickjacking
• h...
• WebScarab
• Url's amigáveis
• .htaccess
• Encapsulamento /administrator 
• Atualização CMS
• Encapsulamento meta-tag Gen...
MALWARE
• Depende exclusivamente do
usuário 
• Alto índice de retorno de
ataque
• FTP usando SO Windows
• O elo fraco da s...
BOAS PRÁTICAS
1.Atualização versão CMS Joomla
2.Não usar templates piratas
3.Permissões ( Diretórios = 755 Arquivos = 644)
4.Alteração d...
EXTENSÕES NECESSÁRIAS
• Admin Exile - plugin para encapsulamento do /
administrator 
• Bye Bye Generator - plugin para remoção/customização
da m...
JED
EXTENSIONS.JOOMLA.ORG
• 7.000 extensões em média
• C - componente
• M - módulo
• P - plugin
• T - template
• S - exten...
"O ditado de que os sistemas de segurança têm
de vencer sempre e o atacante só tem de vencer
uma vez é verdadeiro." (Dusti...
GUIA DE CONSULTA RÁPIDA
JOOMLA! 3.X
• www.livrodejoomla.com.br
CONTATO
cout45@gmail.com
+55 61 91619219
Seu Joomla está seguro?
Seu Joomla está seguro?
Upcoming SlideShare
Loading in...5
×

Seu Joomla está seguro?

623

Published on

Palestra apresentada no JDBR13, com os principais ataques, boas práticas e extensões para otimização da segurança de sites com CMS Joomla.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
623
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seu Joomla está seguro?

  1. 1. JÚLIO COUTINHO @COUT45 • Graduado webdesign e programação • Especialista em Engenharia de Sistemas • Militar EB - Webmaster Gab Cmt Ex • Criador e mantenedor joomlabrasilia.org • Autor Guia Consulta Joomla!3
  2. 2. SEU SITE SEGURO, BOAS PRÁTICAS DE SEGURANÇA.
  3. 3. TIPOS DE ATAQUES
  4. 4. • Força bruta - "A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário." • Sql Injection - uma das formas mais comuns e efetivas de ataques à aplicações web. Operações CRUD não autorizadas. • Directory Scanning - exploração de diretórios. • Acesso direto - tentativa de abrir determinado arquivo abrindo uma backdoor. • DoS - Denial of Service (negação de serviço).
  5. 5. • Clickjacking - cria formulários invisíveis para capturar usuário e senha. Inicializados por Trojans presentes em links recebidos nos emails. • Malware - infecta o site com objetivo de gerar tráfego em ataques DoS, spam e etc. (*) Aviso no navegador
  6. 6. WEBSCARAB • Softwares para testes de segurança e/ou ataques com processos automatizados, desde defacement, passando por roubo de dados e destruição de diretórios e arquivos. • OWASP WebScarab Project • https://www.owasp.org/index.php/ Category:OWASP_WebScarab_P roject
  7. 7. JOOMSCAN
  8. 8. BLINDANDO O SEU SITE
  9. 9. • Força bruta • Usuário de administração != admin • Senha forte (letras maiúsculas e minúsculas, nrs e caracteres especiais) • Directory Scanning • Arquivo em branco (index.html) na raiz de todos os diretórios • Sql Injection • ID Super User randômica (Joomla 3 +) • Prefixo de tabela randômico (Joomla 3+)
  10. 10. • Acesso Direto • _JEXEC • comp, mod, plg e tmpl • defined('_JEXEC') or die; • DOS • Desligue a máquina • Clickjacking • header('X-Frame-Options: SAMEORIGIN');
  11. 11. • WebScarab • Url's amigáveis • .htaccess • Encapsulamento /administrator • Atualização CMS • Encapsulamento meta-tag Generator
  12. 12. MALWARE • Depende exclusivamente do usuário • Alto índice de retorno de ataque • FTP usando SO Windows • O elo fraco da segurança são as pessoas. (Kevin Mitnick)
  13. 13. BOAS PRÁTICAS
  14. 14. 1.Atualização versão CMS Joomla 2.Não usar templates piratas 3.Permissões ( Diretórios = 755 Arquivos = 644) 4.Alteração dos dados do Super admin 5.Url's amigáveis 6.Minimizar a instalação de extensões de terceiros 7.Regras de segurança no .htaccess 8.Desabilitar relatórios de erros
  15. 15. EXTENSÕES NECESSÁRIAS
  16. 16. • Admin Exile - plugin para encapsulamento do / administrator • Bye Bye Generator - plugin para remoção/customização da meta-Generator • Browse Update Warning - plugin para atualização do navegador • Akeeba Backup - componente para Backup e recuperação • JJAntispam - plugin preventivo de spam durante registro e login
  17. 17. JED EXTENSIONS.JOOMLA.ORG • 7.000 extensões em média • C - componente • M - módulo • P - plugin • T - template • S - extensão slave
  18. 18. "O ditado de que os sistemas de segurança têm de vencer sempre e o atacante só tem de vencer uma vez é verdadeiro." (Dustin Dykes)
  19. 19. GUIA DE CONSULTA RÁPIDA JOOMLA! 3.X • www.livrodejoomla.com.br
  20. 20. CONTATO cout45@gmail.com +55 61 91619219
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×