Se lavori in ambito enterprise e sono scansioni interne, quindi non eseguite da terze parti per cui ci sarebbe tutta una trafila diversa ad esempio banalmente di firme per nda e altro, fatte per validare ambienti sviluppati in casa o acquistati da fornitori esterni la best practice minima sarebbe di lanciare i tools verso ambienti di collaudo / sviluppo.
Per inciso ricordo ancora il lancio da parte di uno sviluppatore di uno scan acunetix verso la nuova release del prodotto software fatta in produzione, santo rman di oracle..... > Il 15 settembre 2017 alle 8.44 ED <[email protected]> ha scritto: > > > Un articolo di ieri relativo all'ennesima shell PHP con annessa backdoor > [1], ha rafforzato i miei timori sull'uso di tool poco conosciuti > durante i test di sicurezza verso ambienti di produzione. > > Lavoro in un ambiente "enterprise", in cui mi limito ad usare tool > commerciali di grosse case o open source rinomati (Nmap, Nikto ecc). > Salvo rare eccezioni, i tool poco conosciuti che vanno oltre la mia > capacita' di analisi (es. script ExploitDB con blob binari, framework > PowerShell che nascono e muoiono come meteore) sono esclusi, > specialmente se necessitano di privilegi local elevati o di credenziali > sull'obiettivo. Non avendo io tempo e competenze per scrivere exploit, > cio' naturalmente limita di molto i risultati. > > Come fate voi? Qual'e' il confine fra un tool sicuro ed uno pericoloso? > Dipende dall'obiettivo? Che precauzioni prendete quando eseguite tool > nuovi? Sono mai state formalizzate best practice a riguardo? > > Saluti > ED > > > [1] > https://isc.sans.edu/forums/diary/Another+webshell+another+backdoor/22826/ > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
