Scribd Logo
Importer

Bienvenue sur Scribd !

  • Teste Seguranca

    Transféré par

    ruiestrelinha
    170 vues5 pages

    Titre original

    teste_seguranca

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    170 vues5 pages

    Teste Seguranca

    Transféré par

    ruiestrelinha

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

      Cadeira de Projecto

    NTC | 3º Ano 

    Teste de Segurança 

     
    No  âmbito  da  realização  do  teste  de  segurança,  o  grupo  de  projecto  recorreu  à  técnica  de 
    teste  peer  review  na  qual  contou  com  a  ajuda  do  Miguel  João  Santos,  um  especialista  em 
    segurança  informática,  que  de  uma  forma  muito  prestável  e  didáctica  nos  introduziu  nos 
    conceitos  e  problemáticas  relativas  às  vulnerabilidades  de  uma  plataforma  como  o  Drupal. 
    Como  técnica  de  recolha  de  dados  foi  usado  o  registo  em  papel  bem  como  o  registo  em 
    formato digital. 

    Com  a  execução  deste  teste  de  segurança,  o  grupo,  procurou  verificar  a  robustez  da 
    plataforma  face  a  intrusões  ilícitas,  nomeadamente  no  que  toca  a  assegurar  uma  eficaz 
    protecção  dos  dados  pessoais,  informações  confidenciais  e  download  de  conteúdos 
    protegidos. 

    Numa primeira abordagem foi nos sugerido que nada é cem por cento seguro e que por isso e 
    em ultima análise a falha de segurança poderá aparecer por parte do utilizador. Referindo os 
    extremos, o extremo da segurança seria ter o computador pura e simplesmente desligado, por 
    outro  lado  o  extremo  da  insegurança  seria  não  respeitar  qualquer  regra  de  optimização  de 
    updates do sistema. 

    De uma forma geral e atendendo ao conceito de opensource em que a CMS – Drupal se insere 
    podemos considerar já à partida um certo nível de segurança nesta plataforma. É no entanto 
    boa politica manter sempre todo o sistema o mais actualizado possível, contribuindo para isso 
    a  execução  atempada  dos  respectivos  updates  não  só  do  core  e  respectivos  módulos  da 
    plataforma bem como do sistema operativo do servidor. 

    Principais Vulnerabilidades 

     
    Durante  a  realização  do  teste  de  segurança  foram  abordadas  algumas  das  técnicas  mais 
    utilizadas no que toca à realização de ataques a sistemas informáticos nomeadamente: Cross 
    Site  Scripting  (XSS),  SQL  Injection,  Sistema  Password  Hash.  No  que  diz  respeito  ao  teste  de 
    Cross Site Scripting conclui‐se que o core do Drupal não apresenta problemas a este nível, no 
    entanto  foi  encontrada  uma  falha  grave  num  módulo  externo  que  permite  a  utilização  de 
    Cross Site Scripting, foi efectuado um teste que resultou numa primeira fase na execução de 
    um pequeno trecho de código javascript que apresentava um alert de “Hello World” e numa 

     
    Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
     
      Cadeira de Projecto
    NTC | 3º Ano 

    segunda fase criava mesmo uma iframe onde carregava a página inicial do google. Este tipo de 
    vulnerabilidade poderá ser potencialmente danosa visto que permite sem grande dificuldade 
    reescrever as páginas de html utilizadas. 

    Relativamente ao SQL Injection foram efectuados diversos testes de inserção de strings de SQL 
    dos  quais  não  foram  detectadas  falhas  quer  no  core  do  Drupal  bem  como  nos  módulos 
    externos testados. 

    Foi  ainda  verificada  a  existência  da  integridade  do  sistema  de  passwords  da plataforma  pelo 
    que  se  conclui  que  o  Drupal  faz  utilização  da  metodologia  de  Hash  no  que  toca  à  gestão  de 
    passwords. Na prática, o sistema de Hash, uma das metodologias mais utilizadas nos dias que 
    correm, permite encriptar a password por forma a que no caso de uma falha de segurança seja 
    praticamente  impossível  alguém  ter  acesso  às  passwords  e  consequentemente  a  uma  falha 
    grave no que diz respeito à integridade de todo o sistema. 

     Por fim e de forma a complementar este teste foi nos também sugerida a leitura de alguma 
    bibliografia, nomeadamente o livro “Cracking Drupal – A Drop in a Bucket” que aborda toda a 
    temática envolvente. 

    Conclusão 

     
    Como  conclusão  é  sensato  afirmar  que  existem  algumas  falhas  que  apontam  para 
    vulnerabilidades no que diz respeito à segurança do sistema. Conclui‐se ainda que a realização 
    deste  teste  foi  de  extrema  importância  pois  através  deste  conseguiu‐se  detectar  algumas 
    falhas que poderão colocar em causa a integridade do sistema. As falhas encontradas irão ser 
    alvo  de  um  estudo  do  qual  irá  certamente  resultar  a  resolução  das  mesmas.  É  ainda 
    importante  referir,  que  todo  este  teste,  será  descrito  de  uma  forma  mais  exaustiva  e 
    pormenorizada no relatório de segurança que será apresentado na entrega final de projecto. 

     
    Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
     
      Cadeira de Projecto
    NTC | 3º Ano 

    Anexos 

     
    Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
     
      Cadeira de Projecto
    NTC | 3º Ano 

     
    Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
     
      Cadeira de Projecto
    NTC | 3º Ano 

     
    Carla Duarte, Mariana Santos, Rúben Pio, Rui Estrelinha
     

    Vous aimerez peut-être aussi