Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org



Documentos relacionados
Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Conviso Security Training Ementa dos Treinamentos

Faça seu portal voar usando o plone.app.caching. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Quem tem medo de XSS? William Costa

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

IPv6 Provedor PyTown.com. Fabiano Weimar dos Santos [Xiru]

SQuaRE system and software quality models security

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

10 maiores riscos em aplicações Web

OWASP: Introdução OWASP. The OWASP Foundation

Plone na Plataforma Mobile. Fabiano Weimar dos Santos e Giuseppe Romagnoli

Desenvolvimento e disponibilização de Conteúdos para a Internet

Segurança no Desenvolvimento

Web Application Firewall

Análise de Vulnerabilidades em Aplicações WEB

SBSeg 2016 Niterói, RJ 08 de novembro de 2016

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho Thiago Canozzo Lahr

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo

Segurança de Aplicações Internet e Comércio Eletrônico Especialização em Administração e Segurança de Sistemas Computacionais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

Ataques a Aplicações Web

Gerador de aplicativos Oracle PL/SQL WEB baseado na estrutura das tabelas do. Wagner da Silva Orientando Prof. Alexander Roberto Valdameri Orientador

Instituto de Inovação com TIC. [Junho/ 2009]

Attacking Session Management

Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016

7 Utilização do Mobile Social Gateway

Adaptando o Plone para Plataformas Móveis. Fabiano Weimar dos Santos e Giuseppe Romagnoli

Universidade Federal de Santa Catarina Departamento de Informática e Estatística Bacharelado em Sistemas de Informação

Daniel Caçador

VULNERABILIDADES WEB v.2.2

nas Instituições de Ensino Superior Universidade de Aveiro Ricardo T. Martins 2018 / 04 / 13

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

OpenACS e as Comunidades Virtuais

segurança em aplicações web

XSS - CROSS-SITE SCRIPTING

Forms Authentication em ASP.NET

UNIVERSIDADE FEDERAL DO PARANÁ SETOR DE EDUCAÇÃO LABORATÓRIO DE CULTURA DIGITAL

Josh Pauli Revisão técnica Scott White. Novatec

Uso de taxonomias na gestão de conteúdo de portais corporativos.

Introdução ao Plone. terça-feira, 4 de agosto de 15

Patrocinadores. Microsoft TechDays Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites

PHP SECURITY INTEGRANTES:

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS

Segurança de Sistemas

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

ASSUNTO DO MATERIAL DIDÁTICO: SISTEMAS DE INFORMAÇÃO E AS DECISÕES GERENCIAIS NA ERA DA INTERNET

Segurança em Sistemas Web. Addson A. Costa

Integração de Sis temas Legados com Plone

Construindo portais com Plone

Universidade Federal do Rio Grande do Sul Centro de Processamento de Dados

Proposta de Treinamento. The Art of Defense SQL Server Security Best Practices Cookbook. Brasília 04 de agosto de 2015.

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário

Faculdade de Tecnologia Senac (Pelotas) Análise e desenvolvimento de Sistemas Sistemas de Informação

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

Módulo Publicações Publicações On Line. Módulo Publicações

Tecnologias WEB Web 2.0

Elgg - Participatório. Departamento de Informática Universidade Federal do Paraná (UFPR) Curitiba PR c3participa@c3sl.ufpr.br

Consultoria sobre Joomla!

Palestra - Curso Técnico em Informática Introdução ao Ethical Hacker (Auditoria via teste de penetração) Baseados no OWASP Top 10

ROTEIRO DE INSTALAÇÃO / DESINSTALAÇÃO SiB Finame V Rev.1

Daniel Santos MVP MCP MCSA MCSE MCTS MSBS

Documento de apresentação Software de Gestão e Avaliação da Formação

CMS Content Management

OpenACS e dotlrn: o caso do Portal do Software Público Brasileiro

Noções de. Microsoft SQL Server. Microsoft SQL Server

1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2.

Vulnerabilidades em Sistemas de Informação:

FANESE Faculdade de Administração e Negócios de Sergipe

Eldorado Brasil: SAP GRC Access Control leva conformidade ao controle de acessos

Publicação em contexto académico: OJS na prática

SISTEMA DE WORKFLOW PARA MODELAGEM E EXECUÇÃO DE PROCESSOS DE SOFTWARE. Aluno: Roberto Reinert Orientador: Everaldo A. Grahl

O que é o Virto ERP? Onde sua empresa quer chegar? Apresentação. Modelo de funcionamento

Arquitetura de Workflow em Plone e Web Services

BRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert:

O que tem neste ebook?

Construindo uma aplicação Web completa utilizando ASP.Net 2.0, Visual Studio 2005 e IIS 7.0 ( Parte 1)

Biblioteca de segurança para tratar as principais vulnerabilidades web

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

Segurança da Informação:

ESTADO DE PERNAMBUCO TRIBUNAL DE CONTAS

Webinar Introdução ao Puppet Enterprise

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

IoT / M2M Oportunidades de novos negócios em um ambiente transformador

Banco de Dados de Fatores de Emissão (EFDB)

Licenciamento BMC Remedy. Esclarecimento sobre licenciamento dos produtos. 6/5/2010

Fone: atendimento@wissenconsulting.com.br

ROADMAP DT. Novembro de 2014 a Janeiro de Evoluções em implementação nos produtos Direct Talk

Emerson Rocha Luiz Membro do JUGRS - JoomlaTchê Consultor e programador especialista em Joomla!

Transcrição:

Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com 2

Um pouco sobre mim... Os amigos me chamam de Xiru Já escrevi algumas linhas de código do Plone, Archetypes e alguns Plone Products... Atualmente Consultor do Programa das Nações Unidas para o Desenvolvimento PNUD Sysadmin do provedor PyTown.com Ministro cursos a distância sobre Plone, Segurança e Infraestrutura Segurança no Plone - Provedor PyTown.com 3

Introdução Security is hard (Jim Fulton, chief Zope architect) Falar de segurança com responsabilidade não é uma tarefa simples Vou tentar simplificar... mas não é um assunto de balcão de bar :) Segurança no Plone - Provedor PyTown.com 4

Como Plone É tão Seguro? Arquitura totalmente orientada a objetos Não utiliza banco de dados relacional Impossível sofrer SQL Injection pois não utiliza SQL Modelo de segurança baseado em permissões declarativas Todas as informações são representadas por objetos (instancias de classes ou módulos) Métodos das classes são protegidos por permissões E convenções Permissões são calculadas por papel (role) Roles são atribuidos aos usuários de acordo com o contexto Segurança no Plone - Provedor PyTown.com 5

Como Plone É tão Seguro? Não existe administração de permissões Todo controle de acesso aos conteúdos é definido em um workflow Conteúdos mudam de estado de revisão do workflow e tem permissões ajustadas automaticamente Conteúdo que o usuário não pode ver não é disponibilizado (aquilo que não pode ser visto não existe ) Segurança no Plone - Provedor PyTown.com 6

Modelo de Segurança O projeto Plone se preocupa com qualidade de código Segurança é resultado da forma como a plataforma foi definida e da qualidade do código fonte Não existe solução de segurança que resolva problemas de implementação causados por desenvolvedores Segurança no Plone - Provedor PyTown.com 7

OWASP Top 10 Open Web Application Security Project 501c3 not-for-profit (assim como a Plone Foundation) Não defende nenhuma tecnologia ou marca Foco na segurança como resultado de boas práticas de desenvolvimento Publica o Top 10 de riscos de segurança Segurança no Plone - Provedor PyTown.com 8

OWASP Top 10 Análises quantitativas demonstrariam que qualquer tecnologia possui mais vulnerabilidades conhecidas do que o Plone (basta consultar o CVE-MITRE) Isso não diz muita coisa, pois o Plone não é um CMS tão popular quanto o wordpress... given enough eyeballs, all bugs are shallow (Eric S. Raymond) Segurança no Plone - Provedor PyTown.com 9

Segurança no Plone - Provedor PyTown.com 10

OWASP Top 10 OWASP Top 10 Web Application Security Risks 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Segurança no Plone - Provedor PyTown.com 11

Segurança no Plone - Provedor PyTown.com 12

Segurança no Plone - Provedor PyTown.com 13

Segurança no Plone - Provedor PyTown.com 14

Segurança no Plone - Provedor PyTown.com 15

Segurança no Plone - Provedor PyTown.com 16

Segurança no Plone - Provedor PyTown.com 17

import sha # Gerador de boas CRIPTO_KEY # openssl rand -base64 256 CRIPTO_KEY = """ ejfsiadbiuw9dlgtrv+ijskbtfdavcbjvot58aaocytsbon36aqkbv1qerba431t jv4mqqc3c2rtsi4gy8phrygiekpfutlbjns5gegr7pdpzlli09zizvk4rhgxjcyc XOjz/Nxoufq/otEMNZuJvfib6B4t2dNSgEAUS2vIqlUffgkVlClNP6MvdA0qv+OO Du8G+vQnpvBG8/0ySiYo/FEQRrk0MAbtpIhDqg5pbvZM7XyppTFW66dMMxAolhqi lfjf2dkauzvmv0cni7br9nbvfc7cjihnalxxapim7qebfbasoxrafzyxkz7iclfe V83CeyQiBad3vKW/ETUCug== """ def member_name(self): mtool = self.portal_membership return str(mtool.getauthenticatedmember()) def gera_tk(self): txt = CRIPTO_KEY + member_name(self) c = sha.new() c.update(txt) return c.hexdigest() def gera_tag_csrf(self): return """<input type="text" name="_authenticator" value="%s" />""" % gera_tk(self) def verifica_tag_csrf(self, tag): return tag == gera_tk(self) Segurança no Plone - Provedor PyTown.com 18

Segurança no Plone - Provedor PyTown.com 19

Segurança no Plone - Provedor PyTown.com 20

Plone HotFix http://plone.org/products/plone-hotfix apenas 12 correções de segurança desde abril de 2006 Segurança no Plone - Provedor PyTown.com 21

Obrigado Fabiano Weimar dos Santos xiru@xiru.org Twitter @xiru Segurança no Plone - Provedor PyTown.com 22

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback