O documento discute vulnerabilidades em sistemas de gerenciamento de conteúdo (CMS) como WordPress e Joomla. Apresenta exemplos de vulnerabilidades como versões desatualizadas, configurações padrão e instalação de plugins. Também explica a diferença entre ataques e invasões a sites e como invasores podem explorar vulnerabilidades para obter acesso não autorizado a sistemas.

1. Segurança
Pensando
ers
CMS

2. Segurança
CMS
Hackers
Pensando

3. Renan WebVibe Barbosa Araújo
Quem sou eu? Desenvolvedor
RenanTurrm
SENAI, ITB,SENAI,
Tecnologia em Sistemas para Internet
3 anos
HotelDaRede
Hospedagem e criação de sites

4.  Ping –t;
Habilidades!!!  Control + Alt + Del;
 Shift + Del;
 Shutdown;
 Decorei o SERIAL do Windows XP;
 Usuário avançado em Paint;
 Sei teclar sem olhar para o teclado;
 Sei criar emoticons.
<|>
_/_

5. Você gosta de
segurança?

6. Eu odeio segurança!!!
Segurança é ter

7. Eu odeio segurança!!!
Segurança é ter
controle

8. Motivos Andar de moto sem capacete
Pular de paraquedas SEM paraquedas!

9. Vamos voltar para a
realidade

10. CMS – Porque
utilizar ?
<|>
_/_

11. Existem vulnerabilidades em um
CMS?
Efeito rampa de carga
vulnerabilidade Má distribuição de energia
” umaFalha que
Vulnerabilidade é
pode ser explorada” <|>
_/_

12. Elas também são importantes

14. Devemos mitigar, diminuir
as vulnerabilidades...
PC  Notebook  HD’s  Pendrives
 Cartões de memória  Celular 
E-mail  Post it...
<|>
_/_

15. Exemplos de
vulnerabilidades
tecnológicas
<|>
_/_

16. Vamos imaginar que
diminuímos todas as
vulnerabilidades
humanas
<|>
_/_

17. Quebrando o tabu
Mac OS

18. Agora sim podemos
pensar no CMS

19. Principais vulnerabilidades
de um CMS...
WordPress Joomla

20. Principais vulnerabilidades
de um CMS
• Versões antigas(0-day);
• Plataforma antiga(0-day);
• Senhas fáceis;
• Configuração padrão(0-day);
• Instalação de plugins

21. Zero Day
[Dia Zero] é uma falha de segurança
que foi explorada e divulgada antes
da disponibilização de uma
correção.

22. Ataque vs Invasão

23. Ataque

24. Ataque ao site da CAIXA
Link do site
da CAIXA
Link da sua
internet

25. Ataque ao site da CAIXA
Link do
servidor do
site da CAIXA
Link da sua
internet

26. Ataque ao site da CAIXA
Link do
servidor do
site da CAIXA
Link da sua
internet

27. Ataque ao site da CAIXA
Link do
servidor do
BANDEIRA site da CAIXA
DO JAPÃO
Link da sua
internet

28. Ataque ao site da CAIXA
BANDEIRA
DO JAPÃO
Link da sua
internet
Link do servidor do site da CAIXA Servidores da CAIXA

29. Ataque ao site da CAIXA
BANDEIRA
DO JAPÃO
Link da sua
internet
Link do servidor do site da CAIXA Servidores da CAIXA

30. Invasão

31. Exemplo de invasão
Zero Day do Joomla < 2.5.2
www.sitevulneravel.com/ index.php?option=com_users&view=registration
10minutemail.com

32. Exemplo de invasão
Zero Day do Joomla < 2.5.2
www.sitevulneravel.com/ index.php?option=com_users&view=registration
Formulário sem segurança
<input name="jform[groups][]" value="7" />

33. Exemplo de invasão
Zero Day do Joomla < 2.5.2
<input name="jform[groups][]" value="7" />

34. Exemplo de invasão
Zero Day do Joomla < 2.5.2

35. Shell ou bash  interpretador de comandos

36. Shell ou bash  interpretador de comandos

37. Shell ou bash  interpretador de comandos

38. Shell ou bash  interpretador de comandos

39. Vídeo – Sistema
de invasão do
futuro
http://www.youtube.com/watch?v=lK_cdkpazjI
<|>
_/_

40. Agora é com vocês!!!
Obrigado.
Renan@hoteldarede.com
<|>
_/_