On Tue, Jan 15, 2013 at 12:37:01AM +0100, Andrea Draghetti wrote: > Il 13/01/13 22:50, Gerardo Di Giacomo ha scritto: > > Piu' che una simulazione di un penetration test mi sembra piu' la > > simulazione di un attacco di uno script kiddie per bucare un sito > > qualsiasi, con tanto di comandi per "provare a casa". Se da cliente vedessi > > un consulente fare un penetration test del genere lo denuncerei per truffa. > > > Dubito che il linguaggio utilizzato e la metodologia dottrinale sia > stata riportata per un target di utenti "script kiddie", se invece il > riferimento ? a me indirizzato ti invito cordialmente a non inviarmi pi? > le tue pubblicazioni da riportare su Over Security.
Mi inserisco nel merito del discorso in due vesti.. prima veste: MHO di pentest monkey con "qualche annetto di esperienza(tm)" per dirti che le obiezioni che ti ha fatto gerardo, cosi' come le note esplicative del secondo messaggio, sono perfettamente calzanti, e non hai nemmeno minimamente parlato di manleve e autorizzazioni, cosi' come cautele da tenersi quando si lavora su sistemi in produzione, etc. etc. etc. etc. (c'e' abbastanza letteratura sull'argomento - che per altro non hai minimanente citato - comunque se vogliamo parlare di come si fa un PT, sono disponibile). btw, come luca ti faceva notare nei commenti, usare un nome di fantasia non abbastanza fantasioso potrebbe anche farti ricevere qualche lamentela.. o usi nomiveramentefantasiosichenonesistono.com oppure example.com :) ps: sempre IMHO, dradis e' un cesso a pedali, e OpenVAS poco piu' di un giocattolo ... seconda veste: in qualita' di list admin vi invito a moderare i toni :) bye, K.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
