Re: [ml] Vulnerability Assessment

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2005 ml@sikurezza.org
Soggetto: Re: [ml] Vulnerability Assessment
Mittente: Matteo Meucci
Data: Tue, 21 Jun 2005 14:29:54 +0200 (CEST)

Buon pomeriggio,
nel caso in cui si tratti di un applicativo web consiglio di leggere il doc 
"OWASP Web Application Penetration Checklist. 2004" disponibile alla URL:
http://www.owasp.org/documentation/testing.html

Traduzione in italiano:
"http://www.owasp.org/international/ita.html";
"http://www.clusit.it/whitepapers.htm";

Saluti,
Mat

Matteo Meucci
OWASP-Italy Chair
http://www.owasp.org/local/italy.html


On 6/20/05, Igor Falcomata' <koba@xxxxxxxxxxxxx> wrote:
> Questo e' un tema che periodicamente salta fuori in lista...
> 
> Parti da  questo (e anche  chi vuole dare suggerimenti,  consideri prima
> questo messaggio):
> http://www.sikurezza.org/ml/06_04/msg00275.html
> 
> cmq,  velocissimo,  credo che  la  cosa  migliore <vendor>sia  far  fare
> le  attivita'  a   qualcuno  con  esperienza</vendor>  e   che  sa  come
> moderare/calibrare i test (e che puo' quindi saltare il messaggio di cui
> sopra e la micro-check-list di cui sotto);
> 
> - definire bene (prima) scopi, tempi, modi, responsabilita', catena di
>  alert, autorizzazioni, etc. etc. etc.
> - fare i  test possibilmente  su una  macchina di  test/staging identica
>  a  quella  in  produzione   ed  eventualmente  replicare  solo  quelli
>  necessari/vitali
> - eventualmente fare i test in orario notturno/serale/festivo o cmq non
>  lavorativo/non critico
> - considerare la parte di rete, sistema e applicazione e tutto
>  l'ambaradan che ci sta intorno, se non si vuole fare un lavoro
>  parziale
> - registrare tutte le attivita' nel dettaglio (data, ora, operatore,
>  obiettivo, comando, risultato, etc.)
> - tcpdump ben allacciato sempre in testa e log accesi anche di giorno
> - monitorare i vari punti dell'infrastruttura (bersaglio, sistemi
>  contigui, rete, connettivita', etc.) per vedere se qualcosa va giu'
>  (dopo aver gia' deciso cosa e come fare nel caso)
> - usare la testa
> - vedi sopra
> 
> consulta anche gli archivi di pentest@sf
> 
> thnx
> Koba (moderatore)
> 
> ----- Forwarded message from "dear72(at)libero.it" <dear72(at)libero.it> -----
> From: "dear72(at)libero.it" <dear72(at)libero.it>
> Subject: Vulnerability Assessment
> Date: Mon, 20 Jun 2005 13:52:43 +0200
> 
> Salve,
> dovrei dare indicazioni circa la pianificazione di una Vulnerability Assessment su un applicativo aziendale critico.
> Vorrei sapere da voi quali sono i punti di partenza
> per poter partire col piede giusto senza dimenticarsi niente
> di importante.
> 
> Grazie
> MM
> 
> ----- End forwarded message -----
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 
> 
>

In risposta a:
- [ml] Vulnerability Assessment, Igor Falcomata'

Data:
- precedente: R: [ml] Vulnerability Assessment, Carmelo Floridia
- successivo: Re: [ml] Lista eventi security, Matteo Meucci
- indice

Argomento:
- precedente: R: [ml] Vulnerability Assessment, Carmelo Floridia
- successivo: [ml] Brute force attacks su ssh: a script to block them, Paolo Nason
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005