Académique Documents
Professionnel Documents
Culture Documents
NTC | 3º Ano
Teste de Segurança
No âmbito da realização do teste de segurança, o grupo de projecto recorreu à técnica de
teste peer review na qual contou com a ajuda do Miguel João Santos, um especialista em
segurança informática, que de uma forma muito prestável e didáctica nos introduziu nos
conceitos e problemáticas relativas às vulnerabilidades de uma plataforma como o Drupal.
Como técnica de recolha de dados foi usado o registo em papel bem como o registo em
formato digital.
Com a execução deste teste de segurança, o grupo, procurou verificar a robustez da
plataforma face a intrusões ilícitas, nomeadamente no que toca a assegurar uma eficaz
protecção dos dados pessoais, informações confidenciais e download de conteúdos
protegidos.
Numa primeira abordagem foi nos sugerido que nada é cem por cento seguro e que por isso e
em ultima análise a falha de segurança poderá aparecer por parte do utilizador. Referindo os
extremos, o extremo da segurança seria ter o computador pura e simplesmente desligado, por
outro lado o extremo da insegurança seria não respeitar qualquer regra de optimização de
updates do sistema.
De uma forma geral e atendendo ao conceito de opensource em que a CMS – Drupal se insere
podemos considerar já à partida um certo nível de segurança nesta plataforma. É no entanto
boa politica manter sempre todo o sistema o mais actualizado possível, contribuindo para isso
a execução atempada dos respectivos updates não só do core e respectivos módulos da
plataforma bem como do sistema operativo do servidor.
Principais Vulnerabilidades
Durante a realização do teste de segurança foram abordadas algumas das técnicas mais
utilizadas no que toca à realização de ataques a sistemas informáticos nomeadamente: Cross
Site Scripting (XSS), SQL Injection, Sistema Password Hash. No que diz respeito ao teste de
Cross Site Scripting conclui‐se que o core do Drupal não apresenta problemas a este nível, no
entanto foi encontrada uma falha grave num módulo externo que permite a utilização de
Cross Site Scripting, foi efectuado um teste que resultou numa primeira fase na execução de
um pequeno trecho de código javascript que apresentava um alert de “Hello World” e numa
Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
Cadeira de Projecto
NTC | 3º Ano
segunda fase criava mesmo uma iframe onde carregava a página inicial do google. Este tipo de
vulnerabilidade poderá ser potencialmente danosa visto que permite sem grande dificuldade
reescrever as páginas de html utilizadas.
Relativamente ao SQL Injection foram efectuados diversos testes de inserção de strings de SQL
dos quais não foram detectadas falhas quer no core do Drupal bem como nos módulos
externos testados.
Foi ainda verificada a existência da integridade do sistema de passwords da plataforma pelo
que se conclui que o Drupal faz utilização da metodologia de Hash no que toca à gestão de
passwords. Na prática, o sistema de Hash, uma das metodologias mais utilizadas nos dias que
correm, permite encriptar a password por forma a que no caso de uma falha de segurança seja
praticamente impossível alguém ter acesso às passwords e consequentemente a uma falha
grave no que diz respeito à integridade de todo o sistema.
Por fim e de forma a complementar este teste foi nos também sugerida a leitura de alguma
bibliografia, nomeadamente o livro “Cracking Drupal – A Drop in a Bucket” que aborda toda a
temática envolvente.
Conclusão
Como conclusão é sensato afirmar que existem algumas falhas que apontam para
vulnerabilidades no que diz respeito à segurança do sistema. Conclui‐se ainda que a realização
deste teste foi de extrema importância pois através deste conseguiu‐se detectar algumas
falhas que poderão colocar em causa a integridade do sistema. As falhas encontradas irão ser
alvo de um estudo do qual irá certamente resultar a resolução das mesmas. É ainda
importante referir, que todo este teste, será descrito de uma forma mais exaustiva e
pormenorizada no relatório de segurança que será apresentado na entrega final de projecto.
Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
Cadeira de Projecto
NTC | 3º Ano
Anexos
Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
Cadeira de Projecto
NTC | 3º Ano
Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
Cadeira de Projecto
NTC | 3º Ano
Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha