@System ha organizzato il giorno 11 Dicembre 2008, presso il Dipartimento di Informatica dell'Universita' di Pisa, un workshop al quale abbiamo contribuito come relatori proponendo due diversi seminari. Di seguito potete trovare entrambe le presentazioni in formato PDF.
-
"IT security agency essentials": Storia di un penetration test immaginario.
A cura di: Francesco `ascii` Ongaro, Antonio Parata
Nel seminario verrà trattato il processo di penetration testing in tutte le sue fasi, a cominciare dalla definizione della parte contrattuale e legale fino alla creazione del report. Verranno maggiormente approfondite ed enfatizzate le fasi più tecniche.
Scarica le slides: http://ush.it/team/ascii/hack-pisa2008_atsystem/pisa_penetrationtesting_pres0.4.pdf
http://www.atsystem.org/en/system/files/pisa_penetrationtesting_pres0.4.pdf -
Web Application Security: Bug Hunting e Code Review.
Come comportarsi di fronte ad uno "0day" e come relazionarsi con il vendor seguendo i canoni della "Responsible Disclosure".
A cura di: Antonio Parata, Francesco `ascii` Ongaro
Al giorno d'oggi buona parte dell'attività di penetration test condotta dall'esterno consiste nel testare la sicurezza di uno o più siti web aziendali. Per tale motivo nella seconda parte del seminario si approfondirà la tematica della sicurezza delle applicazioni web. In particolare verranno approfonditi concetti come "Bug Hunting" e "Code Review", quest ultimo utile nel caso in cui il codice sorgente dell'applicazione sia disponibile. Verrà inoltre spiegato come comportarsi nel caso di scoperta di una vulnerabilità non nota (comunemente detta 0day), e di come relazionarsi con il vendor seguendo i canoni della "Responsible Disclosure".
Scarica le slides: http://ush.it/team/s4tan/hack-pisa2008_atsystem/pisa_web_application_security.pdf
http://www.atsystem.org/en/system/files/pisa_web_application_security.pdf
Per approfondimenti potete visitare la pagina specifica sul sito di @System: Real Life Security: quando gli hackers diventano professionisti.