Re: Script per testare la sicurezza di IIS

On Wed, Oct 30, 2002 at 02:26:44PM +0100, daniele wrote:

> Ho sentito parlare di script in perl che tentano di
> utilizzare dei bug noti di IIS e rivelano quindi
> se sul server sono state passate le patch. Li ho
> cercati ma non li ho trovati.
> Mi servono per controllare se degli utenti che
> hanno chiesto il permesso di "giocare" con un proprio
> server web hanno effettivamento fatto gli aggiornamenti
> di sicurezza.
> In generale, mi servono degli strumenti non distruttivi
> per verificare se questi server almeno sono patchati per
> gli exploit piu' comuni.

immagino ti riferisca ai vari unicod* di Roelof Temmingh
(http://www.sensepost.com e mirrorati su packetstorm). Li trovi anche su
securityfocus, nella sezione 'exploits' o nella discussione delle varie
vulnerabilita'.

> Suggerimenti e link sono molto graditi.

L'argomento e' molto lungo e se n'e' parlato piu' volte in lista, senza
entrare nel dettagli del bene (e del male) della soluzione e delle
necessarie precauzioni, un buon punto di partenza puo' essere un
vulnerability scanner generico (ISS Scanner, nessus, gfi, typhon, .. .. ..)
oppure uno scanner specifico per webserver (whisker/libwhisker, nikto, .. ..
..) CONFIGURATO IN MANIERA ADEGUATA PER FARE TEST 'SOFT'.

Comunque, se hai accesso amministrativo ai sistemi, potrebbe essere (piu'?)
utile una verifica delle patch installate (con gli appositi tool microsoft).

sorry per la fretta non posto i link (ok ok predico bene e razzolo male), ma
prometto che nella versione _aggiornata_ delle slide del mio speech alla
blackhats conference aggiungero' tutte queste info (quando sara' online,
postero' un msg).

bye
Koba (moderatore)

-- 

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List