Se posso dire la mia penso che l'articolo citato sia da intendere pi? come una "scaletta per l'esecuzione di un pentest in un caso fortunato"..in realt? per? le "6 fasi prinicpali" racchiudono ognuna un vastissimo mondo a s? stante ed ? abbastanza riduttivo ridurre un pentest ad una sorta di checklist, in particolare la fase di reporting finale che ? la pi? importante (a cui ? stato dato davvero poco peso).
Quindi, critiche (del tutto fondate e legittime) e suggerimenti possono essere proposti, magari in modo pi? costruttivo (come nel secondo messaggio).. Per quanto mi riguarda poi sono piuttosto interessato a: " [..] comunque se vogliamo parlare di come si fa un PT, sono disponibile [..]".. Regards, NF Il giorno 15 gennaio 2013 01:11, Igor Falcomata' <[email protected]> ha scritto: > On Tue, Jan 15, 2013 at 12:37:01AM +0100, Andrea Draghetti wrote: > > > Il 13/01/13 22:50, Gerardo Di Giacomo ha scritto: > > > Piu' che una simulazione di un penetration test mi sembra piu' la > simulazione di un attacco di uno script kiddie per bucare un sito > qualsiasi, con tanto di comandi per "provare a casa". Se da cliente vedessi > un consulente fare un penetration test del genere lo denuncerei per truffa. > > > > > Dubito che il linguaggio utilizzato e la metodologia dottrinale sia > > stata riportata per un target di utenti "script kiddie", se invece il > > riferimento ? a me indirizzato ti invito cordialmente a non inviarmi pi? > > le tue pubblicazioni da riportare su Over Security. > > Mi inserisco nel merito del discorso in due vesti.. > > prima veste: MHO di pentest monkey con "qualche annetto di > esperienza(tm)" per dirti che le obiezioni che ti ha fatto gerardo, > cosi' come le note esplicative del secondo messaggio, sono perfettamente > calzanti, e non hai nemmeno minimamente parlato di manleve e > autorizzazioni, cosi' come cautele da tenersi quando si lavora su > sistemi in produzione, etc. etc. etc. etc. (c'e' abbastanza letteratura > sull'argomento - che per altro non hai minimanente citato - comunque se > vogliamo parlare di come si fa un PT, sono disponibile). > > btw, come luca ti faceva notare nei commenti, usare un nome di fantasia > non abbastanza fantasioso potrebbe anche farti ricevere qualche > lamentela.. o usi nomiveramentefantasiosichenonesistono.com oppure > example.com :) > > ps: sempre IMHO, dradis e' un cesso a pedali, e OpenVAS poco piu' di un > giocattolo ... > > seconda veste: in qualita' di list admin vi invito a moderare i toni :) > > bye, > K. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
