Professional Documents
Culture Documents
www.company.com
RESUMO
Qual dos projectos existentes o mais seguro Analise de vulnerabilidades existentes Tool de Analise Concluso
www.company.com
Escolha do CMS
Top CMS Downloads - 2010 OpenSource CMS Market Share Report
www.company.com
Analise
www.company.com
Vulnerabilidades
XSS podia ser encontrada em wp-admin/editpost-rows.php Regularizado na verso 2.3.1 fix final de 2007 SQL Injection Acesso sem autorizao de utilizadores na registados Regularizado na verso 2.3.1 fix final de 2008
www.company.com
Vulnerabilidades
SQL Injection Reportado no componente RSS FEED iJoomla. No foi regularizado reportado a 16 de junho 2009
Local file disclosure Reportado no componente MooFAQ. No foi regularizado reportado a 11 de Junho 2009
Broken Authentication Control Afectava o sistema de autenticao do joomla, e alterar a password do administrador Regularizado, na verso 1.5.6 fix a 13 de Agosto de 2008
www.company.com
Vulnerabilidades
SQL insertion vulnerability Reportado no modulo de gesto de taxonomias, inserir dados sem autorizao. Regularizado Para todas as verses Fix 19 de Junho 2009 Security bypass Reportado no modulo de views, podia modificar os ns especificos ou classes sem autenticao Regularizado Para todas as verses Fix 22 de Maio 2009
www.company.com
Prtica
NIKTO projecto open-source, base de dados de 3300 scripts para testar vulnerabilidades.
. / n i k t o . p l h { u r l } C o f i c h e i r o r e p o r t . t x t
www.company.com
Concluso
- Positivo reportar / alertar as falhas que sejam encontradas -Ao divulgar uma vulnerabilidade num forum, alerta o desenvolvimento de correces -No divulgar uma m pratica e prejudica a evoluo do projecto
-A causa comum de maior percentagem de vulnerabilidades devido: ->m pratica de utilizao da API, no desenvolvimento de novos componentes / mdulos /extenses ->Principalmente nos componentes comerciais -Para garantir a segurana, dever ser aplicada em todo o ciclo de vida de software, metodologias apropriadas, desde a escolha de: -Servidor web e a actualizao do software
www.company.com
www.company.com