O documento discute técnicas para prevenir ataques cibernéticos em aplicações web com Joomla, incluindo fortalecer senhas, manter o sistema atualizado, usar plugins de segurança e configurar cabeçalhos HTTP apropriados. Ele também descreve os principais tipos de ataques observados, como força bruta, SQL injection e clickjacking.
2. PROCESSO & CULTURA
• A maioria dos ataques observados ao longo
de anos de consultoria poderiam ter sido
evitados com atitudes preventivas do usuário.
3. CICLO DE DESENVOLVIMENTO
• O desenvolvimento de um software é dividido
em ciclos, a saber:
1. ALFA
2. BETA
3. UNSTABLE
4. RELEASE CANDIDATE
5. STABLE
4. QUAL A MELHOR PREVENÇÃO
• Em mar de ORCA não seja a FOCA
5. TIPOS DE ATAQUES
• Os ataques mais frequentes observados à
aplicações web com Joomla, foram:
1. Força Bruta
2. Meta-Generator
3. SQL Injection
4. Directory Scanning
5. Clickjacking
6. COMO BLINDAR?
• Técnicas simples para blindar sua aplicação
web com Joomla:
1. Força Bruta
• Encapsulamento do /administrator
• Usuário != admin
• Senha forte (Letras maiúsculas e minúsculas,
caracteres especiais e números)
• Exemplo de senha forte: F!@M3nG0
7. MINIMIZE A INSTALAÇÃO DE
EXTENSÕES DE TERCEIROS
2. Meta-Generator
• Plugin bye bye Generator – Customização ou
remoção.
8. MANTENHA O JOOMLA ATUALIZADO
3. SQL Injection
• Plugin Marco’s SQL Injection - Rastreamento
de ataques com bloqueio de IP e aviso por e-
mail.
• Plugin Adminer – Gerenciamento do BD no
back-end.
9. NÃO USE TEMPLATES PIRATAS
4. Directory Scanning
• Usar arquivo index.html em branco na raiz dos
diretórios que você criou.
• Manter os diretórios com permissão 0755
• Manter os arquivos com permissão 0644
• Para o arquivo configuration.php pode-se
aplicar uma restrição maior. Ex: 0444
10. NÃO ABRA OU CLIQUE EM LINKS DE
E-MAILS DESCONHECIDOS
5. Clickjacking
• Inserir na primeira linha do arquivo index.php
que está na raiz da aplicação Joomla, o código
seguinte: Header(‘X-Frame-Options:SAMEORIGIN’);
• Se quiser configurar o apache server para enviar
o cabeçalho X-frame-Options para todas as
páginas, adicione a configuração do seu site: #Ln-
sf/ etc/apache2/mods-available/headers.load
/etc/apache2/mods-enabled/headers.load
11. DOR DE CABEÇA SÓ POR ABRIR O
E-MAIL DESCONHECIDO
• No arquivo apache2.conf, adicione a seguinte
entrada: Header always append X-Frame-
Options SAMEORIGIN
12. VALORES X-Frame-Options:NEGAR,
SAMEORIGIN E ALLOW-FROM uri
• NEGAR – A página não pode ser exibida em
um <iframe></iframe>, independente do local
que tenta executá-lo
• SAMEORIGIN- A página só pode ser exibida
em um <iframe></iframe>, sobre a mesma
origem que a própria página
• ALLOW-FROM uri - A página só pode ser
exibida em um <iframe></iframe>, sobre a
origem especificada