ersPensando

Segu

ranç

a

CMS

Pensando ersHack

Segu

ranç

a

CMS

Que

m s

ou e

u?RenanTurrm

SENAI,ITB,SENAI,

Desenvolvedor WebVibe Renan Barbosa Araújo

HotelDaRede

Tecnologia em Sistemas para Internet

Hospedagem e criação de sites

3 anos

Ping –t; Control + Alt + Del; Shift + Del; Shutdown; Decorei o SERIAL do Windows XP; Usuário avançado em Paint; Sei teclar sem olhar para o teclado; Sei criar emoticons.

Hab

ilida

des!

!!

<|>_/\_

Você gosta de segurança?

Eu odeio segurança!!!Segurança é ter

Eu odeio segurança!!!Segurança é ter

controle

Motivos

Pular de paraquedas SEM paraquedas!

Andar de moto sem capacete

Vamos voltar para a realidade

<|>_/\_

CMS – Porque utilizar ?

<|>_/\_

Existem vulnerabilidades em um

CMS?

Efeito rampa de carga Má distribuição de energiavulnerabilidade

” Vulnerabilidade é uma Falha que pode ser explorada”

Elas também são importantes

<|>_/\_

Devemos mitigar, diminuir as vulnerabilidades...

PC Notebook HD’s Pendrives Cartões de memória Celular E-

mail Post it...

Senha!

123mudar

<|>_/\_

Exemplos de vulnerabilidades

tecnológicas

<|>_/\_

Vamos imaginar que diminuímos todas as vulnerabilidades humanas

Quebrando o tabuMac OS

Agora sim podemos pensar no CMS

Principais vulnerabilidades de um CMS...

WordPress Joomla

Principais vulnerabilidades de um CMS

• Versões antigas(0-day);• Plataforma antiga(0-day);• Senhas fáceis;• Configuração padrão(0-day);• Instalação de plugins

Zero Day

[Dia Zero] é uma falha de segurança que foi explorada e divulgada antes

da disponibilização de uma correção.

Ataque vs Invasão

Ataque

Ataque ao site da CAIXA

Link da sua internet

Link do site da CAIXA

Ataque ao site da CAIXA

Link da sua internet

Link do servidor do

site da CAIXA

Ataque ao site da CAIXA

Link da sua internet

Link do servidor do

site da CAIXA

Ataque ao site da CAIXA

Link da sua internet

Link do servidor do

site da CAIXABANDEIRA DO JAPÃO

Ataque ao site da CAIXA

Link da sua internet

Link do servidor do site da CAIXA

BANDEIRA DO JAPÃO

Servidores da CAIXA

Ataque ao site da CAIXA

Link da sua internet

BANDEIRA DO JAPÃO

Servidores da CAIXALink do servidor do site da CAIXA

Invasão

Exemplo de invasãoZero Day do Joomla < 2.5.2

10minutemail.com

index.php?option=com_users&view=registrationwww.sitevulneravel.com/

Exemplo de invasãoZero Day do Joomla < 2.5.2

index.php?option=com_users&view=registrationwww.sitevulneravel.com/

<input name="jform[groups][]" value="7" />

Formulário sem segurança

Exemplo de invasãoZero Day do Joomla < 2.5.2

<input name="jform[groups][]" value="7" />

Exemplo de invasãoZero Day do Joomla < 2.5.2

Shell ou bash interpretador de comandos

Shell ou bash interpretador de comandos

Shell ou bash interpretador de comandos

Shell ou bash interpretador de comandos

<|>_/\_

Vídeo – Sistema de invasão do

futurohttp://www.youtube.com/watch?v=lK_cdkpazjI

<|>_/\_

Agora é com vocês!!!Obrigado.Renan@hoteldarede.com