o cms seguro

5/7/2018 O CMS Seguro - slidepdf.com

http://slidepdf.com/reader/full/o-cms-seguro 1/11

O CMS Seguro

Mestrado em Software de Codigo Aberto

Seguranca em Redes de Computadores:

Rui Figueiredo

ISCTE-IUL - Instituto Universitario de [email protected] http://www.iscte-iul.pt

Resumo O presente artigo enquadra-se no ambito de analisar qual dosprojectos CMS existentes e o mais seguro. Sera realizado uma bateria detestes em laboratorio, com o apoio de plataformas open-source e com-

plementando com estatısticas e com ferramentas de analise de falhas deseguranca. A analise sera efectuada com base em ındices de vulnerabili-dade, relacionada com o top 10 da owasp.

1 Introducao

A diversidade existente de projectos CMS ”Content Management Systems”, daa possibilidade de livre escolha, de optar pelo que se adapta melhor as nossasnecessidades. A facilidade de criar, editar, gerir os conteudos e um dos princi-pais factores de escolha. No entanto a sua seleccao pode ser uma decisao difıcil.As necessidades/funcionalidades sao levadas em conta na maior, as aplicacoesweb sao desenvolvidas por programadores que estao sobre pressao de mercado,

no entanto empresas de TOPO ja mencionam na ampla gama de necessidadesdiferentes factores onde a seguranca se tornou como um imperativo. A WSAC re-centemente demonstrou que, 99% das aplicacoes web nao cumprem com os PCIDSS Standards. 80 - 96%, tem nıveis de risco elevado vulnerabilidades e 13%pode ser comprometida automaticamente. A alta frequencia de vulnerabilidadesnas aplicacoes web faz do teste (em vez de verificacao atraves do modelo formal)uma solucao mais produtiva na identificacao de vulnerabilidades de seguranca.[1]Ao longo dos tempos sentimos a necessidade de aprender como proteger as nos-sas casas de possıveis assaltos, o mesmo se aplica para as aplicacoes web[2]. Ainternet sempre foi vulneravel a ataques, com a evolucao das novas tecnologias,os hackers melhoram constantemente as suas tecnicas, que se tornaram bastantesofisticadas [3] . E necessario permanecer consciente do facto de que as solucoes

de codigo aberto sao mais propensas a ataques do que outras solucoes. Existeum maior grau de vulnerabilidades por o codigo pode ser acedido por qualquerpessoa, dando a oportunidade a hackers analisarem o nucleo da aplicacao, devidoa isso e necessaria um controlo permanente e recursivo, desenvolver correccoesque sao indispensaveis para a escolha do CMS.[2] Os projectos de opensource saomuito mais amplos nas necessidades/funcionalidades e a sensibilizacao da comu-nidade opensource preza a sua continuidade, organizando-se e contribuindo para

http://www.iscte-iul.pt/

http://www.iscte-iul.pt/



2 Rui Figueiredo

a seguranca dos pro jectos envolvidos. devido a isso e possıvel provar que existemprojectos muito seguros devido a atencao dos seus seguidores. E que este artigo

traga sustentabilidade e que contribua na escolha da plataforma ideal de gestaode conteudos No artigo sera analisado o CMS open-source mais popular, e seratestado num ambiente LAMP1.

1. Wordpress www.wordpress.com2. Joomla www.joomla.org3. Drupal www.drupal.org

(a) Wordpress Logo (b) Joomla Logo (c) Drupal Logo

Figura 1: Logotipos dos CMS

CMS Media Semanal

Worpress 983,625

Joomla 113,836

Drupal 33,671

Tabela 1: Media downloads 2010

2 CMS em analise

No presente capitulo sera apresentada a situacao actual relacionada com o word-press, joomla e drupal.

2.1 Wordpress

Wordpress e um gestor de conteudos open-source desenvolvido em PHP pelawordpress.com. A ideia principal do projecto, foi criar uma plataforma ideal

para a construcao e publicacao de um blog, no entanto esta solucao demonstragrande simplicidade na gestao das tarefas de administracao base da plataforma,e devido ao desenvolvimento de extensoes/plugins a plataforma tornou-se numaplataforma geral de gestao de conteudos, onde existe a possibilidade de criarmais do que um simples blog.

1 Linux-Apache-MySQL-PHP



O CMS Seguro 3

2.2 Joomla

Joomla e um gestor de conteudos open-source desenvolvido em PHP pela joomla.org.A ideia principal do projecto,foi dar possibilidades de quem n ao e programador(exemplo: um gestor de vendas, gestor de marketing, um empresario,..) poderactualizar os conteudos no seu site, sem ter que recorrer a ajuda de um progra-mador. Se existir necessidade de alterar funcionalidades, entao sera necessaria aajuda de um programador, nas tarefas mais simples como alterar um paragrafono texto, ou inserir uma imagem, o gestor de marketing consegue facilmentecumprir esse tipo de tarefas. As solucoes desenvolvidas por programadores ex-ternos sao chamados packages(pacotes).

2.3 Drupal

Drupal e um sistema de gestao de conteudos, que faz uso de modulos que ajudamo administrador a organizar e a mostrar os conteudos, manipulando a aparenciae administrando as tarefas, como a administracao dos utilizadores da plataforma.O drupal e desenvolvido em PHP e pode ser implementado em windows, MacOS X, Linux e outros sistemas operativos. Qualquer pessoa pode criar modulospara o drupal, e estao disponıveis varios modulos desde galerias de fotos a lojase-comerce. O projecto esta bem sustentado pela comunidade, onde existe umlargo numero de tutoriais e documentacao disponıvel no site drupal, As solucoesdesenvolvidas por programadores externos sao chamados modulos.



4 Rui Figueiredo

Wordpress Joomla Drupal

- Funciona em - Funciona em - Funciona emambientes de alojamento ambientes de alojamento ambientes de alojamento

partilhado partilhado partilhado- Facil de - Facil de - Facil de

compreender e compreender e compreender eutilizar as utilizar as utilizar asextensoes extensoes extensoes

- Plugins poderosos - Plugins poderosos - Bem documentado- Facilidade de - Facilidade de - Bem Documentadoutilizacao para utilizacao para - Alta qualidade

utilizadores sem utilizadores sem da plataforma no desempenhoconhecimentos de conhecimentos de do servidor

programacao programacao - Ideal para multi-sites

- Versionamento (para projectos- Sistema de multi-sites nao necessariamente)

temas poderoso e - Sistema de temase flexıvel poderoso e flexıvel

Qualquer temaexistente em XHTML

ou CSS pode seradaptado ao drupal

- Taxonomias- Versionamento- Escalabilidade

Tabela 2: Vantagens

Wordpress Joomla Drupal

- Mais vocacionado - Bons modulos sao - Nao e facil de iniciarpara blogues pagos para um utilizador comum sem

- Se for necessario um pouco de conhecimentoscriar conteudos mais de programacao

avancados, joomla e limitado - Algumas definicoes- Multi-sites numa so devem ser alteradas

instalacao nao e para mais facilsuportado a adaptacao

- Estrutura daprogramacao

Tabela 3: Desvantagens



O CMS Seguro 5

3 Seguranca

De seguida alguns exemplos de vulnerabilidades de seguranca relacionados comos tres sistemas de gestao de conteudos. Estes downloads tem como base o ano2010, e sao referenciados no site da Secunia2. Esta parte do capitulo, demonstraque as equipas de seguranca dos tres sistemas de gestao de conteudos, estao aten-tas e que demonstram capacidade de resposta as investidas dos hackers, vistoque disponibilizam actualizacoes ao detectarem fraquezas nas suas plataformas,apos a disponibilizacao da actualizacao, os utilizadores podem ficar seguros rel-ativamente a vulnerabilidade identificada. Visto que ambas as equipas fazemtestes de qualidade antes da sua disponibilizacao, as equipas estao organizadase disponibilizam informacao atraves dos seus principais links.

1. Wordprocess: http://en.support.wordpress.com/security/

2. Joomla: http://developer.joomla.org/security.html3. Drupal: http://drupal.org/security-team

4 Quais os Riscos

Figura 2: Diagrama de arquitectura owasp.

Em certas ocasioes os caminhos mencionados sao triviais para encontrar e

explorar e sao em certas alturas extremamente difıceis. Os danos podem causaro fim do projecto, e possıvel avaliar a probabilidade associada a cada agente deameaca, o inicio de um ataque, em conjunto com a falha de seguranca e relacionarcom uma estimativa de impacto tecnico e de negocios do seu projecto3.

2 Secunia Stay Secure http://www.secunia.com3 National Center for Biotechnology Information http://www.ncbi.nlm.nih.gov



6 Rui Figueiredo

4.1 Relatorio de Vulnerabilidades

Nesta parte do artigo estao identificadas algumas vulnerabilidades reportadasem mail lists.

4.2 Wordpress

1. XSS Vulnerability (less critical – A1 Figura 3) Esta vulnerabilidade podia serencontrada no”wp-admin/edit-post-rows.php” e afectava a visualizacao do site.Estado: Regularizado, na versao 2.3.1. Fix finais de 2007

2. SQL Injection (critical - A2 Figura 3) Esta vulnerabilidade podia facilitaro acesso sem autorizacao de utilizadores nao registados ao site, e ao servidor.Estado: Regularizado, na versao 2.3.1. Fix finais de 2008

4.3 Joomla

1. SQL Injection (critical - A2 Figura 3) A falha foi reportado no componenteRSS Feed iJoomla para o joomla, que pode ser utilizado para provocar injeccaode dados atraves de SQL injection. Estado: Nao regularizado, reportado a 16de Junho 2009

2. Local File Disclosure (moderated Critical – A6 Figura 3) A vulnerabilidadefoi reportada no componente MooFAQ, que expoem as informacoes potencial-mente sensıveis. Estado: Nao regularizado, reportado a 11 de Junho 2009

3. Broken Authentication control (Critical – A7 Figura 3) Existia esta vulner-abilidade que poderia contornar determinadas restricoes de seguranca e manipu-lar dados, o acesso indevido a componentes como \ com user\ models\ reset.php.Esta falha afectava o sistema de autenticacao do joomla, e alterar a password do

administrador Estado: Regularizado, na versao 1.5.6. Fix 13 de Agosto de 2008

4.4 Drupal

1. Script insertion vulnerability( less critical – A1 Figura 3) A vulnerabilidadefoi reportada no modulo Gestao de Taxonomias, que pode ser explorada por

Figura 3: O top 10 de vulnerabilidades, classificada pela owasp.



O CMS Seguro 7

utilizadores maliciosos, para inserir dados sem autorizacao. Possibilidade de in-troduzir html e scripts Estado: Regularizado, em todas as versoes ate 6.x.1.1

ou 5.x-1-2 afectadas. Fix 19 de Junho de 20092. Security Bypass(less critical – A1 Figura 3) A vulnerabilidade foi repor-

tada no modulo Views as operacoes em massa para o drupal, a vulnerabilidadepodia modificar os NOS especıficos ou classes de NOS sem autorizacao. Estado:Regularizado, em todas as versoes ate 5.x-1-X ate 5.x-1.4 e 6.x-1.7 . Fix 22 deMaio de 2009 2 Analise Pratica

5 Analise Pratica

No presente capitulo estao visıveis testes praticos com a ajuda da aplicacaoopen-source NIKTO O Nikto e um projecto open-source que ajuda a realizartestes nas aplicacoes web, o Nikto contem uma base de dados de 3300 de scripts

vulnerabilidades, esta em constante actualizacao devido a sua comunidade, eidentifica as vulnerabilidades e relacionadas com a base de dados open-sourceOSVDB4

5.1 Como instalar o nikto:

$ m kd ir / s r c$

cd / s r c$

wget −c h t tp : / /www. c i rt . n e t / n i k t io / n ik t o −c ur re n t . t a r . g z $

t a r −x z v f n i kt o−c u r re n t . t a r . g z$

mv n ik t o −1 .3 5/ / u s r / l o c a l / n i k t o$

./ n ik t o . p l −update

5.2 Como aceder ao help

$

./ n ik t o . p l −h

5.3 Iniciar os testes de seguranca e gerar o relatorio no

ficheiro report.txt

$

./ n ik t o . p l −h { u r l } −C −o f i c h e i r o r e p o r t . t xt

6 Teste Pratico

Sera realizado um teste a cada cms instalado no servidor apache local.

4 The Open Source Vulnerability Database http://www.osvdb.org



8 Rui Figueiredo

6.1 CMS: Wordpress 3.2

r u i @ t o s h i ba / u s r / l o c a l / n i k t o$

./ n ik t o . p l −h h t t p : / / l o c a l h o s t / w o r d p r e s s / −C a l l −o r e p o r t w o r d p r e s s . t x t

− N i kt o v 2 . 1 . 4−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−\

t a b l e o f c o n t e n t s

+ Targe t IP : 1 2 7 . 0 . 0 . 1+ T ar ge t Hostname : l o c a l h o s t+ Targe t Port : 80+ S t a r t Time : 2011−07 −06 1 7 : 4 0 : 2 6−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ S e r v e r : A pa ch e / 2 . 2 . 1 7 ( U bunt u )+ R e t r i ev e d x

−powered

−by header : PHP/5.3.5

−1ubuntu7 .2

+ R oot p ag e / r e d i r e c t s t o : h tt p : / / l o c a l h o s t / w o r d p r es s / + Apache / 2 . 2 . 1 7 a p pe a rs t o b e o u td at e d ( c u r r e nt i s a t l e a s t

A pac he / 2 . 2 . 1 9 ) . A pa ch e 1 . 3 . 4 2 ( f i n a l r e l e a s e ) and 2 . 0 . 6 4a re a l s o c u r re n t .

+ Al lo we d HTTP Met hods : GET, HEAD, POST, OPTIONS+ OSVDB−121 84: / in de x . php?=PHPB8B5F2A0−3C92−11d3−A3A9−4

C7B08C10000 : PHP r e v e a l s p o t e n t i a l l y s e n s i t i v e i n f o r ma t i o nv i a c e r t a i n HTTP r e q u e s t s t h a t c o n t a i n s p e c i f i c QUERY

s t r i n g s .+ OSVDB−3 0 9 2: / x m lrp c . p hp : x m lrpc . p hp was fo u n d .+ /wp−c o n t e n t / p l u g i n s / a k is m e t / re a dm e . t x t : The W ord Pre ss

A ki sm et p l u g in ’ T e s te d u p t o ’ v e r s i o n u s u a l l y m at ch es t heW or dP re ss v e r s i o n

+ / re ad me . h tm l : T h is W or dP re ss f i l e r e v e a l s t h e i n s t a l l e dv e r s i o n .

+ OSVDB−3 09 2: / l i c e n s e . t x t : L i c e n s e f i l e f o un d may i d e n t i f ys i t e s o ft w a re .

+ /wp−l o g i n / : Admin l o g i n p ag e / s e c t i o n f o un d .+ 6 45 6 i t e m s c h ec k ed : 0 e r r o r ( s ) an d 9 i t em ( s ) r e p o r t e d on

r e m ot e h o s t + End Time : 2 011−07 −06 1 7 : 4 1 : 3 4 ( 68 s e c on d s )−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ 1 h o s t ( s ) t e s t e d

6.2 CMS: Joomla 1.6


./ n ik t o . p l −h h t t p : / / l o c a l h o s t / joomla −C a l l −o r e p o r t j o o m l a l o c a l . t x t

− N i kt o v 2 . 1 . 4−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ Targe t IP : 1 2 7 . 0 . 0 . 1+ T ar ge t Hostname : l o c a l h o s t



O CMS Seguro 9

+ Targe t Port : 80+ S t a r t Time : 2011−07 −06 1 9 : 1 5 : 5 9

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ S e r v e r : A pa ch e / 2 . 2 . 1 7 ( U bunt u )+ R e t r i ev e d x−powered−by header : PHP/5.3.5 −1ubuntu7 .2+ r o b o t s . t x t c o n t a i ns 17 e n t r i e s w hi ch s h ou l d b e m an ua ll y

viewed .+ ETag h e ad e r f o un d on s e r v e r , i n o d e : 1 9 92 4 46 6 , s i z e : 8 4 9 ,

m ti me : 0 x 4 9 f f 8 e d e 8 b 7 c 0+ Apache / 2 . 2 . 1 7 a p pe a rs t o b e o u td at e d ( c u r r e nt i s a t l e a s t

A pac he / 2 . 2 . 1 9 ) . A pa ch e 1 . 3 . 4 2( f i n a l r e l e a s e ) and 2 . 0 . 6 4 a re a l s o c u rr e nt .

+ Al lo we d HTTP Met hods : GET, HEAD, POST, OPTIONS+ DEBUG HTTP v e rb may s ho w s e rv e r d e b u g g in g in fo rm a t io n . S e e

http : //msdn . mic ro so ft . com/en −us/ li b r a r y /e8 z01xd h%28VS .8 0 % 2 9 .a sp x

f o r d e t a i l s .+ OSVDB−3 09 2: /web . c o n f i g : ASP c o n f i g f i l e i s a c c e s s i b l e .+ OSVDB−8193: /i ndex . php?module=ew fi lem ana ger&type=admin&func

=m an ag er&p a t h e x t = . . / . . / . . / e t c : EW File M a n a g e r f o r PostNukea l l ow s a r b i t r a r y f i l e r e t r i e v a l .

+ OSVDB−121 84: / in de x . php?=PHPB8B5F2A0−3C92−11d3−A3A9−4C7B08C10000 : PHP r e v e a l s p o t e n t i a l l y s e n s i t i v e i n f o r ma t i o n

v ia c e r t ai nHTTP r e q u e s t s t h a t c o n t a i n s p e c i f i c QUERY s t r i n g s .+ OSVDB−3 09 2: / a d m i n i s t r a t or / : T hi s m ig ht be i n t e r e s t i n g . . .+ OSVDB−3 09 2: / i n c l u d e s / : T hi s m ig ht b e i n t e r e s t i n g . . .+ OSVDB−3 09 2: / l o g s / : T hi s m ig ht be i n t e r e s t i n g . . .+ OSVDB−3 09 2: /tmp / : T hi s m ig ht b e i n t e r e s t i n g . . .

+ OSVDB−30 92 : /README: README f i l e fo un d .+ OSVDB−3 0 92 : /LICENSE . t x t : L i c e n s e f i l e f o u nd may i d e n t i f ys i t e s o ft w a re .

+ / h t a c c e s s . t x t : D e f a u l t J oo ml a ! h t a c c e s s . t x t f i l e f o un d . T hi ss h o u l d b e r em ov ed o r r en am ed .

+ / a d m i n i s t r a t o r / i n d e x . p hp : Admin l o g i n p ag e / s e c t i o n f ou nd .+ / c o n f i g u r a t i o n / : Admin l o g i n p ag e/ s e c t i o n f ou nd .+ 6 45 6 i t e m s c h ec k ed : 4 e r r o r ( s ) an d 1 8 i t em ( s ) r e p o r t e d on

r e m ot e h o s t+ End Time : 2011−07 −06 1 9 : 1 9 : 3 9 ( 22 0 s e c on d s )−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ 1 h o st ( s ) t e s t e d + 1 h o st ( s ) t e s t e d

6.3 CMS: Drupal 7.4


./ n ik t o . p l −h h t t p : / / l o c a l h o s t / d r u p a l 7 −C a l l −o r e p o r t d r u p a l l o c a l . t x t

N i kt o v 2 . 1 . 4−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−



10 Rui Figueiredo

+ Targe t IP : 1 2 7 . 0 . 0 . 1+ T ar ge t Hostname : l o c a l h o s t

+ Targe t Port : 80+ S t a r t Time : 2011−07 −06 1 9 : 3 3 : 2 8−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ S e r v e r : A pa ch e / 2 . 2 . 1 7 ( U bunt u )+ R e t r i ev e d x−powered−by header : PHP/5.3.5 −1ubuntu7 .2+ r o b o t s . t x t c o n t a i ns 35 e n t r i e s w hi ch s h ou l d b e m an ua ll y

viewed .+ ETag h e ad e r f o un d on s e r v e r , i n o d e : 1 2 59 7 34 7 , s i z e : 1 5 31 ,

m time : 0 x 4 a 6 e 3 b 3 b a e 6 80+ Apache / 2 . 2 . 1 7 a p pe a rs t o b e o u td at e d ( c u r r e nt i s a t l e a s t

A pac he / 2 . 2 . 1 9 ) . A pa ch e 1 . 3 . 4 2 ( f i n a l r e l e a s e ) and 2 . 0 . 6 4a re a l s o c u r re n t .

+ Al lo we d HTTP Met hods : GET, HEAD, POST, OPTIONS+ DEBUG HTTP v e rb may s ho w s e rv e r d e b u g g in g in fo rm a t io n . S e e

http : //msdn . mic ro so ft . com/en −us/ li b r a r y /e8 z01xd h%28VS . 80 %2 9. a s p x f o r d e t a i l s .

+ OSVDB−3 09 2: /web . c o n f i g : ASP c o n f i g f i l e i s a c c e s s i b l e .+ OSVDB−121 84: / in de x . php?=PHPB8B5F2A0−3C92−11d3−A3A9−4

C7B08C10000 : PHP r e v e a l s p o t e n t i a l l y s e n s i t i v e i n f o r ma t i o nv i a c e r t a i n HTTP r e q u e s t s t h a t c o n t a i n s p e c i f i c QUERY

s t r i n g s .+ OSVDB−3 26 8: / d r u p al 7 / i n c l u d e s / : D i r e c t o r y i n d e x i n g f ou nd .+ OSVDB−3 09 2: / i n c l u d e s / : T hi s m ig ht b e i n t e r e s t i n g . . .+ OSVDB−3 26 8: / d r u p al 7 / m i sc / : D i r e c t o r y i n d e x i n g f o un d .+ OSVDB−3 09 2: / s c r i p t s / : T hi s m ig ht b e i n t e r e s t i n g . . . p o s s i b l y

a s ys te m s h e l l f ou nd .+ OSVDB−3 26 8: / d r u p al 7 / s i t e s / : D i r e c t o r y i n d e x i n g f o un d .

+ 6 45 6 i t e m s c h ec k ed : 0 e r r o r ( s ) an d 1 3 i t em ( s ) r e p o r t e d onr e m ot e h o s t+ End Time : 2011−07 −06 1 9 : 3 4 : 4 0 ( 7 2 s e co n ds )−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−+ 1 h o s t ( s ) t e s t e d

6.4 Analise de logs

No report de cada analise e possıvel identificar referencias como “OSVDB-3092”que estao relacionadas com a base de dados existente no site osvdb5, com osuporte da base de dados, podemos verificar a definicao da situacao e qual amelhor forma de a corrigir.

7 Conclusao

Analisamos as vulnerabilidades dos tres CMS mais consultados na internet e quefazem parte de muitos projectos existentes nas nossas empresas. Sera de todo

5 The Open Source Vulnerability Database http://www.osvdb.org



O CMS Seguro 11

importante ter atencao as vulnerabilidades existentes, tanto como o seu nıvel decriticidade. Contudo sera bastante positivo reportar/alertar as falhas que sejam

encontradas, para que a equipa de seguranca e a propria comunidade tome me-didas e colabore na sua correccao. Alerto tambem que e um factor importante aboa pratica aplicada na instalacao de cada aplicacao, e tambem do seu servidorweb, visto que pode proteger significativamente a aplicacao de vulnerabilidades.Existem projectos que nao divulgam as vulnerabilidades ou resolucoes para omesmo grau, como os projectos que mencionei no presente artigo. O numero devulnerabilidades conhecidas pode ser visto como um indicador, de que o codigoe menos seguro quando e divulgado pelo projecto. E importante entender quenao divulgar vulnerabilidades, nao sera uma boa pratica de seguranca. Falta deinformacao de vulnerabilidades nao indica que a aplicacao nao tem vulnerabili-dades e vulnerabilidades anteriores nao se pode considerar que a aplicacao naotera um bom desempenho de futuro. Ao divulgar uma vulnerabilidade, pode ser

compreendida como um conselho de seguranca. Um alerta de seguranca na maio-ria das hipoteses, fornece aos administradores dos projectos um caminho imedi-ato para a sua correccao, com patches, uma versao actualizada, ou instrucoes demitigacao. Desta forma, a politica de divulgacao de uma vulnerabilidade, diminuios riscos de seguranca para a propria aplicacao. A causa comum de maior per-centagem de vulnerabilidades e causada pela ma pratica de utilizacao da API, nodesenvolvimento de novos componentes/modulos/extensoes. E importante com-preender que a seguranca e um processo e nao um produto estatico, e que hasempre espaco para melhorias. As vulnerabilidades como XSS sao muito comunse melhores praticas de seguranca nao sao suficientemente bem compreendidosou divulgados. Alguns projectos como o drupal versao 7 ja tem desenvolvidopadroes mais seguros. Seguranca nao impede o desenvolvimento local e a suaimplementacao. Para garantir a seguranca, devera ser aplicada em todo o ciclo

de vida do software, metodologias apropriadas, na actualizacao do software.

Referencias

1. Fu, X. Relational Constraint Driven Test Case Synthesis for Web Applications.Electronic Proceedings in Theoretical Computer Science 35 (Sept. 2010), 39–50.

2. Harman, M., Mansouri, S. A., and Zhang, Y. Search Based Software Engineer-ing: A Comprehensive Analysis and Review of Trends Techniques and Applications.Engineering (2009), 1–78.

3. Lancor, L., and Workman, R. Using google hacking to enhance defense strate-gies. ACM SIGCSE Bulletin 39 , 1 (Mar. 2007), 491.

o cms seguro

Documents