Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
PROCESSO & CULTURA
• A maioria dos ataques observados ao longo
de anos de consultoria poderiam ter sido
evitados com atitu...
CICLO DE DESENVOLVIMENTO
• O desenvolvimento de um software é dividido
em ciclos, a saber:
1. ALFA
2. BETA
3. UNSTABLE
4. ...
QUAL A MELHOR PREVENÇÃO
• Em mar de ORCA não seja a FOCA
TIPOS DE ATAQUES
• Os ataques mais frequentes observados à
aplicações web com Joomla, foram:
1. Força Bruta
2. Meta-Genera...
COMO BLINDAR?
• Técnicas simples para blindar sua aplicação
web com Joomla:
1. Força Bruta
• Encapsulamento do /administra...
MINIMIZE A INSTALAÇÃO DE
EXTENSÕES DE TERCEIROS
2. Meta-Generator
• Plugin bye bye Generator – Customização ou
remoção.
MANTENHA O JOOMLA ATUALIZADO
3. SQL Injection
• Plugin Marco’s SQL Injection - Rastreamento
de ataques com bloqueio de IP ...
NÃO USE TEMPLATES PIRATAS
4. Directory Scanning
• Usar arquivo index.html em branco na raiz dos
diretórios que você criou....
NÃO ABRA OU CLIQUE EM LINKS DE
E-MAILS DESCONHECIDOS
5. Clickjacking
• Inserir na primeira linha do arquivo index.php
que ...
DOR DE CABEÇA SÓ POR ABRIR O
E-MAIL DESCONHECIDO
• No arquivo apache2.conf, adicione a seguinte
entrada: Header always app...
VALORES X-Frame-Options:NEGAR,
SAMEORIGIN E ALLOW-FROM uri
• NEGAR – A página não pode ser exibida em
um <iframe></iframe>...
SEJA UMA FOCA EXPERTA
PRÁTICA NOW
CONTATOS
Blindando aplicações com CMS Joomla!
Upcoming SlideShare
Loading in …5
×

Blindando aplicações com CMS Joomla!

248 views

Published on

Sempre que existe um ataque bem sucedido acontece a velha guerra entre servidor e aplicação. O provedor culpa sua aplicação e você culpa o provedor. Aprenda a defender suas aplicações desenvolvidas com CMS Joomla e minimize os riscos.
Palestra apresentada no Software Freedom Day DF 2016.

Published in: Technology
  • Be the first to comment

Blindando aplicações com CMS Joomla!

  1. 1. PROCESSO & CULTURA • A maioria dos ataques observados ao longo de anos de consultoria poderiam ter sido evitados com atitudes preventivas do usuário.
  2. 2. CICLO DE DESENVOLVIMENTO • O desenvolvimento de um software é dividido em ciclos, a saber: 1. ALFA 2. BETA 3. UNSTABLE 4. RELEASE CANDIDATE 5. STABLE
  3. 3. QUAL A MELHOR PREVENÇÃO • Em mar de ORCA não seja a FOCA
  4. 4. TIPOS DE ATAQUES • Os ataques mais frequentes observados à aplicações web com Joomla, foram: 1. Força Bruta 2. Meta-Generator 3. SQL Injection 4. Directory Scanning 5. Clickjacking
  5. 5. COMO BLINDAR? • Técnicas simples para blindar sua aplicação web com Joomla: 1. Força Bruta • Encapsulamento do /administrator • Usuário != admin • Senha forte (Letras maiúsculas e minúsculas, caracteres especiais e números) • Exemplo de senha forte: F!@M3nG0
  6. 6. MINIMIZE A INSTALAÇÃO DE EXTENSÕES DE TERCEIROS 2. Meta-Generator • Plugin bye bye Generator – Customização ou remoção.
  7. 7. MANTENHA O JOOMLA ATUALIZADO 3. SQL Injection • Plugin Marco’s SQL Injection - Rastreamento de ataques com bloqueio de IP e aviso por e- mail. • Plugin Adminer – Gerenciamento do BD no back-end.
  8. 8. NÃO USE TEMPLATES PIRATAS 4. Directory Scanning • Usar arquivo index.html em branco na raiz dos diretórios que você criou. • Manter os diretórios com permissão 0755 • Manter os arquivos com permissão 0644 • Para o arquivo configuration.php pode-se aplicar uma restrição maior. Ex: 0444
  9. 9. NÃO ABRA OU CLIQUE EM LINKS DE E-MAILS DESCONHECIDOS 5. Clickjacking • Inserir na primeira linha do arquivo index.php que está na raiz da aplicação Joomla, o código seguinte: Header(‘X-Frame-Options:SAMEORIGIN’); • Se quiser configurar o apache server para enviar o cabeçalho X-frame-Options para todas as páginas, adicione a configuração do seu site: #Ln- sf/ etc/apache2/mods-available/headers.load /etc/apache2/mods-enabled/headers.load
  10. 10. DOR DE CABEÇA SÓ POR ABRIR O E-MAIL DESCONHECIDO • No arquivo apache2.conf, adicione a seguinte entrada: Header always append X-Frame- Options SAMEORIGIN
  11. 11. VALORES X-Frame-Options:NEGAR, SAMEORIGIN E ALLOW-FROM uri • NEGAR – A página não pode ser exibida em um <iframe></iframe>, independente do local que tenta executá-lo • SAMEORIGIN- A página só pode ser exibida em um <iframe></iframe>, sobre a mesma origem que a própria página • ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe>, sobre a origem especificada
  12. 12. SEJA UMA FOCA EXPERTA PRÁTICA NOW
  13. 13. CONTATOS

×