On Mar 28, 2010, at 10:45 PM, Luigi Ferri wrote: > Ciao a Tutti, Ciao Luigi.
> sto muovendo i primi passi nella security di applicazioni web, potreste > cortesemente segnalarmi libri o manuali (ho già scaricato del materiale dal > sito OWASP) per poter cominciare a studiare? Detta così è un po' lacunosa. Spiega meglio. In quale direzione stai muovendo i primi passi? a) nella scrittura di applicazioni web sicure b) nel test di applicazioni web (pentest e/o code review). A seconda dell'approccio allora puoi andare sulla Owasp Building (o Development) Guide, che è in corso di riscrittura (a)) oppure sulla Owasp Code review guide(b)). A me piace molto anche "Writing secure code" di Microsoft (http://www.microsoft.com/learning/en/us/book.aspx?ID=5957&locale=en-us) Ovviamente la bibbia: Secure Programming with Static Analysis di Brian Chess (http://www.amazon.com/Secure-Programming-Static-Analysis-Brian/dp/0321424778) > > Avete dei tool da suggerirmi? Corsi (on-line free), o libri (pdf) che > possono aiutarmi a comprendere come iniziare a testare od effettuare > verifiche? Corsi online e free non ne esistono, anche perché fare test di sicurezza di applicazioni web è una professione complessa che ha dietro il suo razionale e che richiede passione e motivazione prima di tutto. Per iniziare ti rimando all'Owasp Testing Guide che introduce a come si fa un penetration test e all'Owasp code review di cui sopra. Diffida dai corsi on line gratuiti "ti insegno a diventare hacker in 5 lezioni". Semplicemente, non funzionano :-) Tool, rigorosamente opensource. Penetration test applicativo: * w3af, nikto, wikto (anche se questi sono più indirizzati verso gli application server). Code review: * findbugs, Microsoft Fx Cop (ok questo non è opensource ma è non commerciale), owasp orizon, owasp code crawler, owasp o2. Così... qualche nome per iniziare. Se ti serve altro fai un fischio. Paolo -- The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
