Wikipedia

Penetration test: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Standard e certificazioni professionali: Eliminata duplicazione del paragrafo
Riga 93:
 
Immaginate un sito che dispone di 100 caselle di testo. Alcune saranno vulnerabili a [[SQL injection]] attraverso l'uso di determinate stringhe. L'invio continuo di stringhe casuali arriverà prima o poi a trovare un buco nella sicurezza. L'errore risulta evidente presentandosi come una pagina HTML non corretta a causa di un errore SQL. In questo caso, solo le caselle di testo sono utilizzate come [[input]]. Tuttavia, i sistemi software hanno solitamente molti tipi di input, come i [[cookie]], il flusso di un file in upload o canali RPC. Gli errori possono presentarsi in tutti questi tipi di input. L'obiettivo è quello di ottenere prima un errore non gestito, e quindi comprendere la falla basandosi sul test che ha portato al fallimento. Il tester progetta uno strumento automatizzato per testare la sua conoscenza della falla finché non la comprende a pieno. In seguito, diventa evidente come creare il payload in modo che il sistema vittima lo esegua. Se questa via non è percorribile si può sperare che un altro errore prodotto dal fuzzer produca più frutti. L'uso di un fuzzer consente di risparmiare tempo in modo da non dover controllare le porzioni di codice in cui è improbabile trovare delle [[vulnerabilità]].
 
== Standard e certificazioni professionali ==
Nell'ambito del penetration test è possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute caratteristiche tecniche e di affidabilità degli operatori nonché quello di fornire una metodologia che renda il test di per sé replicabile, valutabile e misurabile nel tempo:
* [https://www.elearnsecurity.it/course/penetration_testing/ eCPPT] - eLearnSecurity Certified Professional Penetration Tester " Professional v3 in Italiano - Patrocinata da AIPSI, Associazione Italiana Professionisti della Sicurezza Informatica(AIPSI)
* ISECOM - [[OPST|OSSTMM Professional Security Tester]] ([[OPST]])
* International Council of E-Commerce Consultants - [[Certified Ethical Hacker]] (CEH)
* Offensive Security (offensive-security.com)- [[Offensive Security Certified Professional]] ([[Offensive Security Certified Professional|OSCP]])
 
La IACRB (Information Assurance Certification Review Board) fornisce una certificazione per penetration tester nota come Certified Penetration Tester (CPT). Il CPT richiede che il candidato superi un esame a scelta multipla tradizionale e un esame pratico che richiede al candidato di eseguire un pen test su di un server.<ref name="iacertification.org">{{Cita web|http://www.iacertification.org/cpt_certified_penetration_tester.html|Certified Penetration Tester (CPT)|10 dicembre 2016|editore=IACRB|lingua=en}}</ref>
 
=== Payload ===
Line 113 ⟶ 104:
* Offensive Security (offensive-security.com)- [[Offensive Security Certified Professional]] ([[Offensive Security Certified Professional|OSCP]])
 
La IACRB (Information Assurance Certification Review Board) fornisce una certificazione per penetration tester nota come Certified Penetration Tester (CPT). Il CPT richiede che il candidato superi un esame a scelta multipla tradizionale e un esame pratico che richiede al candidato di eseguire un pen test su di un server.<ref name="iacertification.org">{{Cita web|http://www.iacertification.org/cpt_certified_penetration_tester.html|Certified Penetration Tester (CPT)|editore=IACRB|lingua=en|10 dicembre 2016}}</ref>
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Penetration_test"