@System ha organizzato il giorno 11 Dicembre 2008, presso il Dipartimento di Informatica dell'Universita' di Pisa, un workshop al quale abbiamo contribuito come relatori proponendo due diversi seminari. Di seguito potete trovare entrambe le presentazioni in formato PDF.
-
"IT security agency essentials": Storia di un penetration test immaginario.
A cura di: Francesco `ascii` Ongaro, Antonio Parata
Nel seminario verr� trattato il processo di penetration testing in tutte le sue fasi, a cominciare dalla definizione della parte contrattuale e legale fino alla creazione del report. Verranno maggiormente approfondite ed enfatizzate le fasi pi� tecniche.
Scarica le slides: http://ush.it/team/ascii/hack-pisa2008_atsystem/pisa_penetrationtesting_pres0.4.pdf
http://www.atsystem.org/en/system/files/pisa_penetrationtesting_pres0.4.pdf -
Web Application Security: Bug Hunting e Code Review.
Come comportarsi di fronte ad uno "0day" e come relazionarsi con il vendor seguendo i canoni della "Responsible Disclosure".
A cura di: Antonio Parata, Francesco `ascii` Ongaro
Al giorno d'oggi buona parte dell'attivit� di penetration test condotta dall'esterno consiste nel testare la sicurezza di uno o pi� siti web aziendali. Per tale motivo nella seconda parte del seminario si approfondir� la tematica della sicurezza delle applicazioni web. In particolare verranno approfonditi concetti come "Bug Hunting" e "Code Review", quest ultimo utile nel caso in cui il codice sorgente dell'applicazione sia disponibile. Verr� inoltre spiegato come comportarsi nel caso di scoperta di una vulnerabilit� non nota (comunemente detta 0day), e di come relazionarsi con il vendor seguendo i canoni della "Responsible Disclosure".
Scarica le slides: http://ush.it/team/s4tan/hack-pisa2008_atsystem/pisa_web_application_security.pdf
http://www.atsystem.org/en/system/files/pisa_web_application_security.pdf
Per approfondimenti potete visitare la pagina specifica sul sito di @System: Real Life Security: quando gli hackers diventano professionisti.