• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Apresentação "O CMS Seguro"
 

Apresentação "O CMS Seguro"

on

  • 780 views

 

Statistics

Views

Total Views
780
Views on SlideShare
760
Embed Views
20

Actions

Likes
1
Downloads
4
Comments
0

2 Embeds 20

http://ruifigueiredo.me 19
http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Apresentação "O CMS Seguro" Apresentação "O CMS Seguro" Presentation Transcript

    • O CMS SEGURO www.company.com
    • RESUMO• Qual dos projectos existentes é o mais seguro• Analise de vulnerabilidades existentes• Tool de Analise• Conclusão www.company.com
    • Escolha do CMS• Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
    • Analise www.company.com
    • Vulnerabilidades• XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007• SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
    • Vulnerabilidades• SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009• Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009• Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
    • Vulnerabilidades• SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009• Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
    • Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar• vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t• Devolve o id exemplo OSVDB-3092• The Open Source Vulnerability Database http://www.osvdb.org• alerta e ajuda a corrigir www.company.com
    • Conclusão• -É Positivo reportar / alertar as falhas que sejam encontradas• -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções• -Não divulgar é uma má pratica e prejudica a evolução do projecto•• -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões• ->Principalmente nos componentes comerciais• -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software,• metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
    • Perguntas? Obrigado! Contacto Rui Figueiredorui.figueiredo@gmail.com www.company.com