Una corretta preparazione è fondamentale per trovare i veri punti deboli e le vulnerabilità nella rete attraverso un pentest. Queste sono le sei cose che dovete fare prima di iniziare.

Con l'aumento di notizie di violazioni di dati aziendali e attacchi ransomware, condurre valutazioni di sicurezza approfondite è diventato una parte inevitabile per le aziende

Pillole di #penetrationtest

theHarvester è il più noto strumento automatico open source per realizzare semplicemente, ma efficacemente, la fase di information gathering, ed in particolare la Open Source Intelligence (OSINT) Gathering.

Questo strumento aiuta nella ricerca da fonti aperte di email, nomi

Pillole di #penetrationtest

Molti sono stati gli attacchi sviluppati contro il protocollo SSL e il suo successore TLS; ricordiamo LOGJAM,FREAK,BEAST,SWEET32,POODLE,Heartbleed e altri ancora.

Tutti sono stati a vario titolo orientati contro il sistema crittografico.
In ogni caso, il problema non è come questo sia stato

Pillole di #penetrationtest

Molti che utilizzano nmap, quando pensano all'host discovery, pensando ad un traffico ICMP.

Attenendosi al manuale, altri sanno inoltre che ICMP viene integrato con TCP SYN alla porta 443 e TCP ACK alla porta 80 per sopperire all'eventuale negazione del traffico ICMP da parte di sistemi di difesa.

Tutto giusto, tranne il

Pillole di #penetrationtest

L'occupazione dei nomi di domini (cybersquatting) è una attività illegale abbastanza nota ma ormai meno efficace, visto le tutele legale esistenti sull'uso improprio di nomi di persone e marchi. Il suo scopo era principalmente di natura "estorsiva".

Più subdola è invece l'occupazione mediante

Pillole di #penetrationtest

Nella fase di enumerazione, la letteratura cita spesso e volentieri la PsTool Suite (https://docs.microsoft.com/en-us/sysinternals/downloads/pstools).

Il problema con

In Fata Informatica ed in particolare con la nostra BU di sicurezza CybersecurityUPci troviamo quotidianamente ad eseguire attività di "Penetration Testing". E' necessario sottolineare che nel processo di messa in sicurezza di un’infrastruttura informatica (cd. processo di “Hardening”), insieme al “Vulnerability

In Fata Informatica abbiamo quotidianamente a che fare con attività di "Vulnerabilty Assessment" (VA) e "Pentetration Testing" (PT) e sebbene queste due attività possano sembrare la stessa cosa, hanno invece delle differenze sostanziali.

In questo articolo parleramo del processo di VA.

Nel processo di “Hardening”, avente come