Re: Quando un cgi-scan diventa pericoloso

> Sono un consulente e, per commessa, mi trovavo presso il cliente. Premetto
> che su questa commessa non mi occupo di security ma di monitoaggio di un
> paio di cluster.

E allora perche' ti sei messo a fare probing ? Senza un'appropriata
autorizzazione ? Lo sai che (facci le corna) in linea teorica, se il
prodotto di probing cerca di exploitare le vulnerabilita' che trova, avresti
potuto facilmente essere accusato di violazione dell'articolo 615/ter ?

> Ora...immagino tutti i campanelli d'allarme saltati sui monitor degli
> addetti alla Security, ma la risposta mi sembra un pò eccessiva

No. Anzi, sono quasi stati gentili.

> mai tentato nulla di strano..prima volta) soprattutto vista la totale
> assenza di sicurezza fino a quel momento.

Evidentemente non e' poi cosi' assente :-)

> Appena arrivato,

Il fatto che la loro security faccia acqua da tutte le parti non doveva
incoraggiarti a uscire dal seminato del tuo incarico nella situazione.

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List