[ml] Vulnerability Assessment

Questo e' un tema che periodicamente salta fuori in lista...

Parti da  questo (e anche  chi vuole dare suggerimenti,  consideri prima
questo messaggio):
http://www.sikurezza.org/ml/06_04/msg00275.html

cmq,  velocissimo,  credo che  la  cosa  migliore <vendor>sia  far  fare
le  attivita'  a   qualcuno  con  esperienza</vendor>  e   che  sa  come
moderare/calibrare i test (e che puo' quindi saltare il messaggio di cui
sopra e la micro-check-list di cui sotto);

- definire bene (prima) scopi, tempi, modi, responsabilita', catena di
  alert, autorizzazioni, etc. etc. etc.
- fare i  test possibilmente  su una  macchina di  test/staging identica
  a  quella  in  produzione   ed  eventualmente  replicare  solo  quelli
  necessari/vitali
- eventualmente fare i test in orario notturno/serale/festivo o cmq non
  lavorativo/non critico
- considerare la parte di rete, sistema e applicazione e tutto
  l'ambaradan che ci sta intorno, se non si vuole fare un lavoro
  parziale
- registrare tutte le attivita' nel dettaglio (data, ora, operatore,
  obiettivo, comando, risultato, etc.)
- tcpdump ben allacciato sempre in testa e log accesi anche di giorno
- monitorare i vari punti dell'infrastruttura (bersaglio, sistemi
  contigui, rete, connettivita', etc.) per vedere se qualcosa va giu'
  (dopo aver gia' deciso cosa e come fare nel caso)
- usare la testa
- vedi sopra

consulta anche gli archivi di pentest@sf

thnx
Koba (moderatore)

----- Forwarded message from "dear72(at)libero.it" <dear72(at)libero.it> -----
From: "dear72(at)libero.it" <dear72(at)libero.it>
Subject: Vulnerability Assessment
Date: Mon, 20 Jun 2005 13:52:43 +0200

Salve,
dovrei dare indicazioni circa la pianificazione di una Vulnerability Assessment su un applicativo aziendale critico.
Vorrei sapere da voi quali sono i punti di partenza
per poter partire col piede giusto senza dimenticarsi niente
di importante.

Grazie
MM

----- End forwarded message -----