Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
JÚLIO COUTINHO
@COUT45
• Graduado webdesign e programação
• Especialista em Engenharia de Sistemas
• Militar EB - Webmaste...
SEU SITE SEGURO, BOAS
PRÁTICAS DE SEGURANÇA.
TIPOS DE ATAQUES
• Força bruta - "A maioria dos ataques de força-bruta
que alcançam sucesso não variam tanto como a senha
do usuário."
• Sq...
• Clickjacking - cria formulários invisíveis para
capturar usuário e senha. Inicializados por
Trojans presentes em links r...
WEBSCARAB
• Softwares para testes de
segurança e/ou ataques com
processos automatizados, desde
defacement, passando por ro...
JOOMSCAN
BLINDANDO O SEU SITE
• Força bruta 
• Usuário de administração != admin
• Senha forte (letras maiúsculas e minúsculas, nrs e caracteres
especia...
• Acesso Direto
• _JEXEC 
• comp, mod, plg e tmpl
• defined('_JEXEC') or die;
• DOS
• Desligue a máquina
• Clickjacking
• h...
• WebScarab
• Url's amigáveis
• .htaccess
• Encapsulamento /administrator 
• Atualização CMS
• Encapsulamento meta-tag Gen...
MALWARE
• Depende exclusivamente do
usuário 
• Alto índice de retorno de
ataque
• FTP usando SO Windows
• O elo fraco da s...
BOAS PRÁTICAS
1.Atualização versão CMS Joomla
2.Não usar templates piratas
3.Permissões ( Diretórios = 755 Arquivos = 644)
4.Alteração d...
EXTENSÕES NECESSÁRIAS
• Admin Exile - plugin para encapsulamento do /
administrator 
• Bye Bye Generator - plugin para remoção/customização
da m...
JED
EXTENSIONS.JOOMLA.ORG
• 7.000 extensões em média
• C - componente
• M - módulo
• P - plugin
• T - template
• S - exten...
"O ditado de que os sistemas de segurança têm
de vencer sempre e o atacante só tem de vencer
uma vez é verdadeiro." (Dusti...
GUIA DE CONSULTA RÁPIDA
JOOMLA! 3.X
• www.livrodejoomla.com.br
CONTATO
cout45@gmail.com
+55 61 91619219
Seu Joomla está seguro?
Seu Joomla está seguro?
Upcoming SlideShare
Loading in …5
×

Seu Joomla está seguro?

1,024 views

Published on

Palestra apresentada no JDBR13, com os principais ataques, boas práticas e extensões para otimização da segurança de sites com CMS Joomla.

  • Be the first to comment

  • Be the first to like this

Seu Joomla está seguro?

  1. 1. JÚLIO COUTINHO @COUT45 • Graduado webdesign e programação • Especialista em Engenharia de Sistemas • Militar EB - Webmaster Gab Cmt Ex • Criador e mantenedor joomlabrasilia.org • Autor Guia Consulta Joomla!3
  2. 2. SEU SITE SEGURO, BOAS PRÁTICAS DE SEGURANÇA.
  3. 3. TIPOS DE ATAQUES
  4. 4. • Força bruta - "A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário." • Sql Injection - uma das formas mais comuns e efetivas de ataques à aplicações web. Operações CRUD não autorizadas. • Directory Scanning - exploração de diretórios. • Acesso direto - tentativa de abrir determinado arquivo abrindo uma backdoor. • DoS - Denial of Service (negação de serviço).
  5. 5. • Clickjacking - cria formulários invisíveis para capturar usuário e senha. Inicializados por Trojans presentes em links recebidos nos emails. • Malware - infecta o site com objetivo de gerar tráfego em ataques DoS, spam e etc. (*) Aviso no navegador
  6. 6. WEBSCARAB • Softwares para testes de segurança e/ou ataques com processos automatizados, desde defacement, passando por roubo de dados e destruição de diretórios e arquivos. • OWASP WebScarab Project • https://www.owasp.org/index.php/ Category:OWASP_WebScarab_P roject
  7. 7. JOOMSCAN
  8. 8. BLINDANDO O SEU SITE
  9. 9. • Força bruta • Usuário de administração != admin • Senha forte (letras maiúsculas e minúsculas, nrs e caracteres especiais) • Directory Scanning • Arquivo em branco (index.html) na raiz de todos os diretórios • Sql Injection • ID Super User randômica (Joomla 3 +) • Prefixo de tabela randômico (Joomla 3+)
  10. 10. • Acesso Direto • _JEXEC • comp, mod, plg e tmpl • defined('_JEXEC') or die; • DOS • Desligue a máquina • Clickjacking • header('X-Frame-Options: SAMEORIGIN');
  11. 11. • WebScarab • Url's amigáveis • .htaccess • Encapsulamento /administrator • Atualização CMS • Encapsulamento meta-tag Generator
  12. 12. MALWARE • Depende exclusivamente do usuário • Alto índice de retorno de ataque • FTP usando SO Windows • O elo fraco da segurança são as pessoas. (Kevin Mitnick)
  13. 13. BOAS PRÁTICAS
  14. 14. 1.Atualização versão CMS Joomla 2.Não usar templates piratas 3.Permissões ( Diretórios = 755 Arquivos = 644) 4.Alteração dos dados do Super admin 5.Url's amigáveis 6.Minimizar a instalação de extensões de terceiros 7.Regras de segurança no .htaccess 8.Desabilitar relatórios de erros
  15. 15. EXTENSÕES NECESSÁRIAS
  16. 16. • Admin Exile - plugin para encapsulamento do / administrator • Bye Bye Generator - plugin para remoção/customização da meta-Generator • Browse Update Warning - plugin para atualização do navegador • Akeeba Backup - componente para Backup e recuperação • JJAntispam - plugin preventivo de spam durante registro e login
  17. 17. JED EXTENSIONS.JOOMLA.ORG • 7.000 extensões em média • C - componente • M - módulo • P - plugin • T - template • S - extensão slave
  18. 18. "O ditado de que os sistemas de segurança têm de vencer sempre e o atacante só tem de vencer uma vez é verdadeiro." (Dustin Dykes)
  19. 19. GUIA DE CONSULTA RÁPIDA JOOMLA! 3.X • www.livrodejoomla.com.br
  20. 20. CONTATO cout45@gmail.com +55 61 91619219

×