SlideShare a Scribd company logo

Apresentação "O CMS Seguro"

ISCTE
ISCTE

O documento fornece um resumo de 3 frases ou menos: 1) Analisa as vulnerabilidades de segurança encontradas nos sistemas de gestão de conteúdo (CMS) Joomla e WordPress e como foram corrigidas através de atualizações. 2) Discutem a importância de relatórios públicos de vulnerabilidades para promover a correção de falhas de segurança. 3) Recomenda práticas de desenvolvimento seguras como o uso de APIs para prevenir vulnerabilidades futuras.

EducationTechnology
1 of 10
Download to read offline
O CMS SEGURO www.company.com
RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
Analise www.company.com
Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com

Recommended

Apache Maven
Apache MavenApache Maven
Apache Maven
eurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swing
Jamille Madureira
 
JUnit
JUnitJUnit
JUnit
eurosigdoc acm
 
Selenium
SeleniumSelenium
Selenium
eurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEB
CodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
Roger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Ramon Durães
 

Recommended

Apache Maven
Apache MavenApache Maven
Apache Maven
eurosigdoc acm
 
Pacote swing
Pacote swingPacote swing
Pacote swing
Jamille Madureira
 
JUnit
JUnitJUnit
JUnit
eurosigdoc acm
 
Selenium
SeleniumSelenium
Selenium
eurosigdoc acm
 
Introdução - Java WEB
Introdução - Java WEBIntrodução - Java WEB
Introdução - Java WEB
CodesHouse Treinamentos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
[Iniciante] - Testes Unitários com WP-UNIT no Wordpress
Roger Ritter
 
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutosComo montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Como montar o seu ambiente de ALM Gratuito em apenas 15 minutos
Ramon Durães
 
Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via Internet
AVEVA
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4
Fabiano Weimar
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
Saulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery
Jaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig
pinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de software
mayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic System
Marco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSC
Vinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework spring
Bruno Catão
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
Rafael Pacheco
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Web
tdc-globalcode
 
Selenium
SeleniumSelenium
Selenium
Danilo Porcelani
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
Handerson Frota
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS)
maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresa
CDS
 
Vir306
Vir306Vir306
Vir306
Vinícius Apolinário
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06
Édipo Daniel Aragão
 
Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacy
ISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IUL
ISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedores
ISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSS
ISCTE
 

More Related Content

What's hot

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via Internet
AVEVA
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4
Fabiano Weimar
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
Saulo Arruda
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery
Jaqueline Ramos
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig
pinheirorocha
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de software
mayconsullivan
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic System
Marco Coghi
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSC
Vinícius Hana Scardazzi
 
O framework spring
O framework springO framework spring
O framework spring
Bruno Catão
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
Rafael Pacheco
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Web
tdc-globalcode
 
Selenium
SeleniumSelenium
Selenium
Danilo Porcelani
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
Handerson Frota
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS)
maxcnunes
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresa
CDS
 
Vir306
Vir306Vir306
Vir306
Vinícius Apolinário
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06
Édipo Daniel Aragão
 

What's hot (18)

Ativação de Licenças Via Internet
Ativação de Licenças Via InternetAtivação de Licenças Via Internet
Ativação de Licenças Via Internet
 
Novidades do plone 4
Novidades do plone 4Novidades do plone 4
Novidades do plone 4
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
 
#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery#VSSUMMIT - Estratégias de Continuous Delivery
#VSSUMMIT - Estratégias de Continuous Delivery
 
1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig1.1. treinamentos instalação fluig
1.1. treinamentos instalação fluig
 
TESTLINK - testes de software
TESTLINK - testes de softwareTESTLINK - testes de software
TESTLINK - testes de software
 
Diagnostic System
Diagnostic SystemDiagnostic System
Diagnostic System
 
Deployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSCDeployment além do trivial com Release Management e Powershell DSC
Deployment além do trivial com Release Management e Powershell DSC
 
O framework spring
O framework springO framework spring
O framework spring
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
 
TDC2016SP - Flask para Web
TDC2016SP - Flask para WebTDC2016SP - Flask para Web
TDC2016SP - Flask para Web
 
Selenium
SeleniumSelenium
Selenium
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
 
Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS) Configurando controle de versões Team Foundation Server(TFS)
Configurando controle de versões Team Foundation Server(TFS)
 
Como escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresaComo escolher o modelo ideal de TFS para sua empresa
Como escolher o modelo ideal de TFS para sua empresa
 
Vir306
Vir306Vir306
Vir306
 
Maven - Aula 06
Maven - Aula 06Maven - Aula 06
Maven - Aula 06
 

Viewers also liked

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacy
ISCTE
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IUL
ISCTE
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedores
ISCTE
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSS
ISCTE
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico Cientificas
ISCTE
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes Linux
ISCTE
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJ
ISCTE
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTE
ISCTE
 

Viewers also liked (8)

Mnesca privacy
Mnesca privacyMnesca privacy
Mnesca privacy
 
Meetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IULMeetup Drupal no ISCTE IUL
Meetup Drupal no ISCTE IUL
 
Como juntar investidores com empreendedores
Como juntar investidores com empreendedoresComo juntar investidores com empreendedores
Como juntar investidores com empreendedores
 
Schiu Proposta OSS
Schiu Proposta OSSSchiu Proposta OSS
Schiu Proposta OSS
 
Plataformas Técnico Cientificas
Plataformas Técnico CientificasPlataformas Técnico Cientificas
Plataformas Técnico Cientificas
 
Gestão de Pacotes Linux
Gestão de Pacotes LinuxGestão de Pacotes Linux
Gestão de Pacotes Linux
 
OpenSource ITIJ
OpenSource ITIJOpenSource ITIJ
OpenSource ITIJ
 
Drupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTEDrupal Day Lisboa 2014 @ Club I - ISCTE
Drupal Day Lisboa 2014 @ Club I - ISCTE
 

Similar to Apresentação "O CMS Seguro"

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados
Samanta Cicilia
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Tiago Antônio da Silva
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração Contínua
ScrumHalf Tool
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery
Samanta Cicilia
 
Web tools pt-br
Web tools pt-brWeb tools pt-br
Web tools pt-br
Paulo Mattos
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
minastestingconference
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOps
Samanta Cicilia
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHP
Flávio Lisboa
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Regis Machado
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Allyson Barros
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
Adriano Bertucci
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?
Adriano Bertucci
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8
claudio alfonso
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Frederico Garcia Costa
 
Web Tools Pt Br
Web Tools Pt BrWeb Tools Pt Br
Web Tools Pt Br
Paulo Mattos
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
Bruno Souza
 
Precisa testar? - Parte 1
Precisa testar? - Parte 1Precisa testar? - Parte 1
Precisa testar? - Parte 1
Fernando Fabricio
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutos
Rafael Chaves
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
André Abe Vicente
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
André Luís Cardoso
 

Similar to Apresentação "O CMS Seguro" (20)

[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados[DevOps Carioca] Testes Automatizados
[DevOps Carioca] Testes Automatizados
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
 
Integração Contínua
Integração ContínuaIntegração Contínua
Integração Contínua
 
[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery[DevOps Carioca] Continuous Delivery
[DevOps Carioca] Continuous Delivery
 
Web tools pt-br
Web tools pt-brWeb tools pt-br
Web tools pt-br
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
 
Importância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOpsImportância de Testes Automatizados para Continuous Delivery & DevOps
Importância de Testes Automatizados para Continuous Delivery & DevOps
 
Criando microsserviços em PHP
Criando microsserviços em PHPCriando microsserviços em PHP
Criando microsserviços em PHP
 
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse VirgoModularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
Modularidade na Web com Java: Desenvolvimento OSGI Web com Eclipse Virgo
 
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem DorPlay Framework - Desenvolvendo Aplicações Web com Java sem Dor
Play Framework - Desenvolvendo Aplicações Web com Java sem Dor
 
Microsoft ALM = Produtividade
Microsoft ALM = ProdutividadeMicrosoft ALM = Produtividade
Microsoft ALM = Produtividade
 
Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?Qualidade - Porque testar seu software?
Qualidade - Porque testar seu software?
 
Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8Palestra sobre CCK Seblod 1.8
Palestra sobre CCK Seblod 1.8
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
 
Web Tools Pt Br
Web Tools Pt BrWeb Tools Pt Br
Web Tools Pt Br
 
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
ALM Open Source Ponta a Ponta - Minicurso Globalcode MC-122
 
Precisa testar? - Parte 1
Precisa testar? - Parte 1Precisa testar? - Parte 1
Precisa testar? - Parte 1
 
Construindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutosConstruindo um micro-serviço Java 100% funcional em 15 minutos
Construindo um micro-serviço Java 100% funcional em 15 minutos
 
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a QualidadeERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
ERES 2018 - Microserviços: Desafios para Lidar com a Qualidade
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 

Recently uploaded

Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
Mary Alvarenga
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
fernandacosta37763
 
Rimas, Luís Vaz de Camões. pptx
Rimas, Luís Vaz de Camões. pptxRimas, Luís Vaz de Camões. pptx
Rimas, Luís Vaz de Camões. pptx
TomasSousa7
 
Redação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptxRedação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptx
DECIOMAURINARAMOS
 
UFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdfUFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdf
Manuais Formação
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
LucianaCristina58
 
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptxSlides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
AntnioManuelAgdoma
 
Funções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prismaFunções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prisma
djincognito
 
Pintura Romana .pptx
Pintura Romana .pptxPintura Romana .pptx
Pintura Romana .pptx
TomasSousa7
 
Introdução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escolaIntrodução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escola
Professor Belinaso
 
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
enpfilosofiaufu
 
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
MessiasMarianoG
 
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdfA QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
AurelianoFerreirades2
 
O que é um Ménage a Trois Contemporâneo .pdf
O que é um Ménage a Trois Contemporâneo .pdfO que é um Ménage a Trois Contemporâneo .pdf
O que é um Ménage a Trois Contemporâneo .pdf
Pastor Robson Colaço
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
livrosjovert
 
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptxSlides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
Potenciação e Radiciação de Números Racionais
Potenciação e Radiciação de Números RacionaisPotenciação e Radiciação de Números Racionais
Potenciação e Radiciação de Números Racionais
wagnermorais28
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
mamaeieby
 
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
SILVIAREGINANAZARECA
 

Recently uploaded (20)

Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
 
Rimas, Luís Vaz de Camões. pptx
Rimas, Luís Vaz de Camões. pptxRimas, Luís Vaz de Camões. pptx
Rimas, Luís Vaz de Camões. pptx
 
Redação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptxRedação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptx
 
UFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdfUFCD_10949_Lojas e-commerce no-code_índice.pdf
UFCD_10949_Lojas e-commerce no-code_índice.pdf
 
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx- TEMPLATE DA PRATICA - Psicomotricidade.pptx
- TEMPLATE DA PRATICA - Psicomotricidade.pptx
 
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptxSlides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
 
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
 
Funções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prismaFunções e Progressões - Livro completo prisma
Funções e Progressões - Livro completo prisma
 
Pintura Romana .pptx
Pintura Romana .pptxPintura Romana .pptx
Pintura Romana .pptx
 
Introdução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escolaIntrodução à Sociologia: caça-palavras na escola
Introdução à Sociologia: caça-palavras na escola
 
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
 
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
 
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdfA QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
A QUESTÃO ANTROPOLÓGICA: O QUE SOMOS OU QUEM SOMOS.pdf
 
O que é um Ménage a Trois Contemporâneo .pdf
O que é um Ménage a Trois Contemporâneo .pdfO que é um Ménage a Trois Contemporâneo .pdf
O que é um Ménage a Trois Contemporâneo .pdf
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
 
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptxSlides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
 
Potenciação e Radiciação de Números Racionais
Potenciação e Radiciação de Números RacionaisPotenciação e Radiciação de Números Racionais
Potenciação e Radiciação de Números Racionais
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
 
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
1_10_06_2024_Criança e Cultura Escrita, Ana Maria de Oliveira Galvão.pdf
 

Apresentação "O CMS Seguro"

  • 1. O CMS SEGURO www.company.com
  • 2. RESUMO • Qual dos projectos existentes é o mais seguro • Analise de vulnerabilidades existentes • Tool de Analise • Conclusão www.company.com
  • 3. Escolha do CMS • Top CMS Downloads - 2010 OpenSource CMS Market Share Report www.company.com
  • 4. Analise www.company.com
  • 5. Vulnerabilidades • XSS – podia ser encontrada em “wp-admin/edit- post-rows.php” Regularizado na versão 2.3.1 fix final de 2007 • SQL Injection – Acesso sem autorização de utilizadores na registados Regularizado na versão 2.3.1 fix final de 2008 www.company.com
  • 6. Vulnerabilidades • SQL Injection – Reportado no componente RSS FEED iJoomla. Não foi regularizado reportado a 16 de junho 2009 • Local file disclosure – Reportado no componente MooFAQ. Não foi regularizado reportado a 11 de Junho 2009 • Broken Authentication Control – Afectava o sistema de autenticação do joomla, e alterar a password do administrador Regularizado, na versão 1.5.6 fix a 13 de Agosto de 2008 www.company.com
  • 7. Vulnerabilidades • SQL insertion vulnerability – Reportado no modulo de gestão de taxonomias, inserir dados sem autorização. Regularizado Para todas as versões Fix 19 de Junho 2009 • Security bypass – Reportado no modulo de views, podia modificar os nós especificos ou classes sem autenticação Regularizado Para todas as versões Fix 22 de Maio 2009 www.company.com
  • 8. Prática NIKTO projecto open-source, base de dados de 3300 scripts para testar • vulnerabilidades. . / n i k t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t x t • Devolve o id exemplo OSVDB-3092 • The Open Source Vulnerability Database http://www.osvdb.org • alerta e ajuda a corrigir www.company.com
  • 9. Conclusão • -É Positivo reportar / alertar as falhas que sejam encontradas • -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correcções • -Não divulgar é uma má pratica e prejudica a evolução do projecto • • -A causa comum de maior percentagem de vulnerabilidades é devido: ->má pratica de utilização da API, no desenvolvimento de novos componentes / módulos /extensões • ->Principalmente nos componentes comerciais • -Para garantir a segurança, deverá ser aplicada em todo o ciclo de vida de software, • metodologias apropriadas, desde a escolha de: -Servidor web e a actualização do software www.company.com
  • 10. Perguntas? Obrigado! Contacto Rui Figueiredo rui.figueiredo@gmail.com www.company.com