tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger1125tag:blogger.com,1999:blog-7490817570652180312.post-31982735980766417232009-04-21T18:21:00.000-03:002009-04-21T18:21:25.745-03:00Usando 0-days en penetration tests.En principio quiero aclarar que la esencia de este post surgio hace unas semanas leyendo la lista de Pen-Test de insecure.org. En este thread que no tuvo mucho exito se planteaba algo que a muchos se nos habrá pasado por la mente en algún momento ¿Usamos 0-days en nuestros Pen-tests?<br />
Dicha pregunta la delimitaría esencialmente en ¿Usamos NUESTROS 0-days en Pen-test? ya que existe en esta subdivisión otro rasgo que podrá interactuar con la respuesta. <br />
<br />
En principio la utilización de 0-days o de vulnerabilidades recientemente descubiertas es útil e inclusive necesario durante las pruebas de pen-test. Es necesario que el cliente sea testeado con toda las rigurosidades que el mercado mismo le impondrá a la hora de estar expuesto en la red.<br />
<br />
El caso que se refiere a la utilización de 0-days propios queda intimamente determinado por la filosofía/política de la companía o del pen-tester ya que la utilización de nuestro código a la vez lo hará público (no a todo el mundo, recordar que siempre hemos de firmar un NDA ;-) ) pero si será conocido por la empresa (o la misma tendrá derecho a exigir conocer con que la hemos vulnerado). Es por ésto que es necesario tener una postura formada y saber decidir que es lo que haremos cuando nos encontremos en ese momento.<br />
<br />
Esa es mi opinión acerca del tema, invito a quién desee a dejar la suya :)<br />
<br />
Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0