Palestra Joomla Day Rio - Case Portal Unisinos com Joomla 3.1.5
Blindando aplicações com CMS Joomla!
-
Upload
julio-coutinho -
Category
Technology
-
view
227 -
download
4
Transcript of Blindando aplicações com CMS Joomla!
PROCESSO & CULTURA
• A maioria dos ataques observados ao longo de anos de consultoria poderiam ter sido evitados com atitudes preventivas do usuário.
CICLO DE DESENVOLVIMENTO
• O desenvolvimento de um software é dividido em ciclos, a saber:
1. ALFA
2. BETA
3. UNSTABLE
4. RELEASE CANDIDATE
5. STABLE
QUAL A MELHOR PREVENÇÃO
• Em mar de ORCA não seja a FOCA
TIPOS DE ATAQUES
• Os ataques mais frequentes observados à aplicações web com Joomla, foram:
1. Força Bruta
2. Meta-Generator
3. SQL Injection
4. Directory Scanning
5. Clickjacking
COMO BLINDAR?
• Técnicas simples para blindar sua aplicação web com Joomla:
1. Força Bruta
• Encapsulamento do /administrator
• Usuário != admin
• Senha forte (Letras maiúsculas e minúsculas, caracteres especiais e números)
• Exemplo de senha forte: F!@M3nG0
MINIMIZE A INSTALAÇÃO DE EXTENSÕES DE TERCEIROS
2. Meta-Generator
• Plugin bye bye Generator – Customização ou remoção.
MANTENHA O JOOMLA ATUALIZADO
3. SQL Injection
• Plugin Marco’s SQL Injection - Rastreamento de ataques com bloqueio de IP e aviso por e-mail.
• Plugin Adminer – Gerenciamento do BD no back-end.
NÃO USE TEMPLATES PIRATAS
4. Directory Scanning
• Usar arquivo index.html em branco na raiz dos diretórios que você criou.
• Manter os diretórios com permissão 0755
• Manter os arquivos com permissão 0644
• Para o arquivo configuration.php pode-se aplicar uma restrição maior. Ex: 0444
NÃO ABRA OU CLIQUE EM LINKS DE E-MAILS DESCONHECIDOS
5. Clickjacking
• Inserir na primeira linha do arquivo index.php que está na raiz da aplicação Joomla, o código seguinte: Header(‘X-Frame-Options:SAMEORIGIN’);
• Se quiser configurar o apache server para enviar o cabeçalho X-frame-Options para todas as páginas, adicione a configuração do seu site: #Ln-sf/ etc/apache2/mods-available/headers.load /etc/apache2/mods-enabled/headers.load
DOR DE CABEÇA SÓ POR ABRIR O E-MAIL DESCONHECIDO
• No arquivo apache2.conf, adicione a seguinte entrada: Header always append X-Frame-Options SAMEORIGIN
VALORES X-Frame-Options:NEGAR, SAMEORIGIN E ALLOW-FROM uri
• NEGAR – A página não pode ser exibida em um <iframe></iframe>, independente do local que tenta executá-lo
• SAMEORIGIN- A página só pode ser exibida em um <iframe></iframe>, sobre a mesma origem que a própria página
• ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe>, sobre a origem especificada
SEJA UMA FOCA EXPERTA
PRÁTICA NOW
CONTATOS