O CMS SEGURO           www.company.com
RESUMO•   Qual dos projectos existentes é o mais seguro•   Analise de vulnerabilidades existentes•   Tool de Analise•   Co...
Escolha do CMS• Top CMS Downloads  - 2010 OpenSource CMS Market Share Report                                       www.com...
Analise          www.company.com
Vulnerabilidades• XSS – podia ser encontrada em “wp-admin/edit-  post-rows.php”  Regularizado na versão 2.3.1 fix final de...
Vulnerabilidades• SQL Injection – Reportado no componente RSS FEED iJoomla.  Não foi regularizado reportado a 16 de junho ...
Vulnerabilidades• SQL insertion vulnerability – Reportado no modulo de gestão de  taxonomias, inserir dados sem autorizaçã...
Prática    NIKTO projecto open-source, base de dados de 3300 scripts para testar•    vulnerabilidades.    . / n i k t o . ...
Conclusão• -É Positivo reportar / alertar as falhas que sejam encontradas• -Ao divulgar uma vulnerabilidade num forum, ale...
Perguntas?      Obrigado!     Contacto   Rui Figueiredorui.figueiredo@gmail.com                           www.company.com
Upcoming SlideShare
Loading in...5
×

Apresentação "O CMS Seguro"

686
-1

Published on

Published in: Education, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
686
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Apresentação "O CMS Seguro"

  1. 1. O CMS SEGURO www.company.com
  2. 2. RESUMO• Qual dos projectos existentes é o mais seguro• Analise de vulnerabilidades existentes• Tool de Analise• Conclusão www.company.com
  3. 3. Escolha do CMS• Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
  4. 4. Analise www.company.com
  5. 5. Vulnerabilidades• XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007• SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
  6. 6. Vulnerabilidades• SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009• Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009• Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
  7. 7. Vulnerabilidades• SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009• Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
  8. 8. Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar• vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t• Devolve o id exemplo OSVDB-3092• The Open Source Vulnerability Database http://www.osvdb.org• alerta e ajuda a corrigir www.company.com
  9. 9. Conclusão• -É Positivo reportar / alertar as falhas que sejam encontradas• -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções• -Não divulgar é uma má pratica e prejudica a evolução do projecto•• -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões• ->Principalmente nos componentes comerciais• -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software,• metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
  10. 10. Perguntas? Obrigado! Contacto Rui Figueiredorui.figueiredo@gmail.com www.company.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×