© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2
TIPOS DE ATAQUES
...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3
 SQL INJECTION - ...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4
outro recurso para...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5
 Clickjacking – v...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7
Blindando o seu Si...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8
não existe mais id...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9
 HTTP Sniffing
Se...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10
Web Server
Config...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11
Resultado:
- Quan...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12
NEGAR - A página ...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13
(*) se você espec...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14
Boas Práticas par...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15
 Biblioteca idna...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16
instalação fique ...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17
 Permissões
- di...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18
 Arquivo de conf...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19
na raiz do seu we...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20
Extensões Importa...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21
 Browser Update ...
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22
Júlio Coutinho - ...
Upcoming SlideShare
Loading in …5
×

Blindando o site Joomla!

2,306 views

Published on

Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,306
On SlideShare
0
From Embeds
0
Number of Embeds
196
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Blindando o site Joomla!

  1. 1. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
  2. 2. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2 TIPOS DE ATAQUES  Força Bruta – “A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário.”
  3. 3. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3  SQL INJECTION - “uma das formas mais comuns e efetivas de ataque na internet. No SQL Injection, tenta-se enviar códigos SQL via consultas SQL não autorizadas e filtradas.”  Directory Scanning – o atacante tenta navegar para um diretório e ver todos os arquivos contidos lá, prevendo que não há um arquivo index.html ou index.php no diretório.  DOS – negação de serviço "Denial of Service" (DoS) é um ataque baseado na tentativa de negar o uso de um servidor ou
  4. 4. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4 outro recurso para usuários autorizados. Este é um tipo de ataque direcionado ao servidor de hospedagem.”  HTTP Sniffing – é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores.
  5. 5. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5  Clickjacking – você já se perguntou como as pessoas perdem o facebook, Msn e etc...? Este tipo de ataque cria formulários invisíveis que possibilitam a captura de usuário e senha. Geralmente são inicializados por cavalos de tróia presentes em links recebidos nos emails. É potencialmente perigoso para sites de qualquer natureza, desenvolvidos em qualquer CMS.
  6. 6. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
  7. 7. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7 Blindando o seu Site  Força Bruta Mude o Super User padrão (admin); e Escolha uma senha forte com letras maiúsculas e minúsculas, números e carctreres especiais.  SQL INJECTION Joomla! 3.x atribui uma ID randômica ao super user inicial,
  8. 8. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8 não existe mais id=62; e Joomla! 3.x atribui prefixos randômicos à tabela #__com_users a cada nova instalação, não existe mais jos_users.  DOS
  9. 9. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9  HTTP Sniffing Segurança a ser implementada no ambiente de rede com um bom sistema de firewall.  Clickjacking CMS insira o seguinte código na primeira linha do arquivo index.php que está na raiz do site. header('X-Frame-Options: SAMEORIGIN');
  10. 10. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10 Web Server Configurando o Apache Para configurar o Apache para enviar o cabeçalho X-frame- Options para todas as páginas, adicione a configuração do seu site: # Ln-sf / etc/apache2/mods-available/headers.load / etc/apache2/mods-enabled/headers.load Ex: No arquivo apache2.conf, adicionei a seguinte Entrada: Header always append X-Frame-Options SAMEORIGIN
  11. 11. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11 Resultado: - Quando é feita uma tentativa de carregar conteúdo em um <iframe></iframe>, o cabeçalho X-Frame-Options nega a permissão. - O navegador Firefox retorna about: blank na aba. Em algum momento, uma mensagem de erro de algum tipo será exibida no quadro(frame). Existem três valores possíveis para X-Frame-Options:
  12. 12. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12 NEGAR - A página não pode ser apresentada em um <iframe></iframe>, independentemente do local que tenta executá-lo. SAMEORIGIN - A página só pode ser exibida em um <iframe></iframe> sobre a mesma origem que a própria página. ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe> sobre a origem especificada.
  13. 13. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13 (*) se você especificar NEGAR, qualquer tentativa de carregar a página de outro site, ou mesmo do site local, em um <iframe></iframe>, será impedida. (**) se especificar SAMEORIGIN, é possível carregar a página de um site local em um <iframe></iframe>, incluindo-a no mesmo local que serve a página.
  14. 14. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14 Boas Práticas para otimizar a segurança Backup NOW - faça regularmente o backup de seu site. Se possível, adquira a versão PRO do Akeeba Backup para aproveitar todos os recursos dessa excelente extensão.
  15. 15. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de instalação fique tranquilo, significa que o problema foi resolvido.  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de
  16. 16. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16 instalação fique tranquilo, significa que o problema foi resolvido.  Usuário do Grupo Super Users - troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte.  Extensões de Terceiros - evite instalar extensões pouco conhecidas e utilizadas.
  17. 17. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17  Permissões - diretórios devem possuir permissão (0755) e arquivos (0644).  Relatório de Erros - desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, falhas de segurança caso existam. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais - Sistema - Relatório de Erros -> nenhum
  18. 18. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório. Exemplo: 1.Renomeie o arquivo configuration.php que está na raiz do website, para config.conf 2.Crie um diretório config e mova o arquivo para este diretório 3.Com o bloco de notas aberto, digite o script abaixo e salve,
  19. 19. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19 na raiz do seu website, como configuration.php  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório.
  20. 20. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20 Extensões Importantes na Otimização da Segurança  Admin Exile - plugin que encapsula o /administrator do site. URL: http://extensions.joomla.org/search?q=admin+exile&q=adminexile  Bye Bye Generator - plugin para customização do Generator. URL: http://extensions.joomla.org/search?q=byebyegenerator
  21. 21. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21  Browser Update Warning - plugin que avisa se o navegador está desatualizado. URL: http://extensions.joomla.org/search?q=browser  Akeeba Backup - Componente para backup e recuperação do site. URL: http://extensions.joomla.org/extensions/access-a-security/site- security/backup/1606?qh=YToxOntpOjA7czo2OiJha2VlYmEiO30%3D
  22. 22. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22 Júlio Coutinho - @cout45 http://www.juliocoutinho.com.br Cout45@gmail.com +55 61 9161-9219 Palestra disponível em http://www.slideshare.net/cout45/

×