Your SlideShare is downloading. ×

Blindando o site Joomla!

1,491
views

Published on

Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.

Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.

Published in: Technology

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,491
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
  • 2. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2 TIPOS DE ATAQUES  Força Bruta – “A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário.”
  • 3. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3  SQL INJECTION - “uma das formas mais comuns e efetivas de ataque na internet. No SQL Injection, tenta-se enviar códigos SQL via consultas SQL não autorizadas e filtradas.”  Directory Scanning – o atacante tenta navegar para um diretório e ver todos os arquivos contidos lá, prevendo que não há um arquivo index.html ou index.php no diretório.  DOS – negação de serviço "Denial of Service" (DoS) é um ataque baseado na tentativa de negar o uso de um servidor ou
  • 4. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4 outro recurso para usuários autorizados. Este é um tipo de ataque direcionado ao servidor de hospedagem.”  HTTP Sniffing – é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores.
  • 5. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5  Clickjacking – você já se perguntou como as pessoas perdem o facebook, Msn e etc...? Este tipo de ataque cria formulários invisíveis que possibilitam a captura de usuário e senha. Geralmente são inicializados por cavalos de tróia presentes em links recebidos nos emails. É potencialmente perigoso para sites de qualquer natureza, desenvolvidos em qualquer CMS.
  • 6. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
  • 7. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7 Blindando o seu Site  Força Bruta Mude o Super User padrão (admin); e Escolha uma senha forte com letras maiúsculas e minúsculas, números e carctreres especiais.  SQL INJECTION Joomla! 3.x atribui uma ID randômica ao super user inicial,
  • 8. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8 não existe mais id=62; e Joomla! 3.x atribui prefixos randômicos à tabela #__com_users a cada nova instalação, não existe mais jos_users.  DOS
  • 9. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9  HTTP Sniffing Segurança a ser implementada no ambiente de rede com um bom sistema de firewall.  Clickjacking CMS insira o seguinte código na primeira linha do arquivo index.php que está na raiz do site. header('X-Frame-Options: SAMEORIGIN');
  • 10. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10 Web Server Configurando o Apache Para configurar o Apache para enviar o cabeçalho X-frame- Options para todas as páginas, adicione a configuração do seu site: # Ln-sf / etc/apache2/mods-available/headers.load / etc/apache2/mods-enabled/headers.load Ex: No arquivo apache2.conf, adicionei a seguinte Entrada: Header always append X-Frame-Options SAMEORIGIN
  • 11. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11 Resultado: - Quando é feita uma tentativa de carregar conteúdo em um <iframe></iframe>, o cabeçalho X-Frame-Options nega a permissão. - O navegador Firefox retorna about: blank na aba. Em algum momento, uma mensagem de erro de algum tipo será exibida no quadro(frame). Existem três valores possíveis para X-Frame-Options:
  • 12. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12 NEGAR - A página não pode ser apresentada em um <iframe></iframe>, independentemente do local que tenta executá-lo. SAMEORIGIN - A página só pode ser exibida em um <iframe></iframe> sobre a mesma origem que a própria página. ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe> sobre a origem especificada.
  • 13. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13 (*) se você especificar NEGAR, qualquer tentativa de carregar a página de outro site, ou mesmo do site local, em um <iframe></iframe>, será impedida. (**) se especificar SAMEORIGIN, é possível carregar a página de um site local em um <iframe></iframe>, incluindo-a no mesmo local que serve a página.
  • 14. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14 Boas Práticas para otimizar a segurança Backup NOW - faça regularmente o backup de seu site. Se possível, adquira a versão PRO do Akeeba Backup para aproveitar todos os recursos dessa excelente extensão.
  • 15. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de instalação fique tranquilo, significa que o problema foi resolvido.  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de
  • 16. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16 instalação fique tranquilo, significa que o problema foi resolvido.  Usuário do Grupo Super Users - troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte.  Extensões de Terceiros - evite instalar extensões pouco conhecidas e utilizadas.
  • 17. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17  Permissões - diretórios devem possuir permissão (0755) e arquivos (0644).  Relatório de Erros - desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, falhas de segurança caso existam. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais - Sistema - Relatório de Erros -> nenhum
  • 18. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório. Exemplo: 1.Renomeie o arquivo configuration.php que está na raiz do website, para config.conf 2.Crie um diretório config e mova o arquivo para este diretório 3.Com o bloco de notas aberto, digite o script abaixo e salve,
  • 19. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19 na raiz do seu website, como configuration.php  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório.
  • 20. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20 Extensões Importantes na Otimização da Segurança  Admin Exile - plugin que encapsula o /administrator do site. URL: http://extensions.joomla.org/search?q=admin+exile&q=adminexile  Bye Bye Generator - plugin para customização do Generator. URL: http://extensions.joomla.org/search?q=byebyegenerator
  • 21. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21  Browser Update Warning - plugin que avisa se o navegador está desatualizado. URL: http://extensions.joomla.org/search?q=browser  Akeeba Backup - Componente para backup e recuperação do site. URL: http://extensions.joomla.org/extensions/access-a-security/site- security/backup/1606?qh=YToxOntpOjA7czo2OiJha2VlYmEiO30%3D
  • 22. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22 Júlio Coutinho - @cout45 http://www.juliocoutinho.com.br Cout45@gmail.com +55 61 9161-9219 Palestra disponível em http://www.slideshare.net/cout45/