Ultima modifica:
Personalmente lascerei sempre la decisione delicata a coloro che ti hanno ingaggiato: non hai un server di test? Scegli tu se preferisci avere un falso positivo oppure rischiare di avere disservizio. In genere la scelta è sempre la prima (per il management è meglio avere un falso positivo), ma soldoni la scelta finale è sempre loro.Ottimo, ma se stai facendo un pentest su una azienda medio piccola? So che spesso non hanno il budget per permetterselo, o non hanno interesse, nemmeno pensano a questo tipo di problematiche, ma magari potrebbero essere interessati ad un vulnerability assessment, almeno quello lo possiamo effettuare in ambito di produzione? Cioè, non credo possa essere un problema lanciare nessus o openVAS per una scansione preliminare, almeno da dare un'idea della sicurezza che hanno, mi sbaglio?
Certo, si può lanciare un VA con Qualys o Nessus, ma il risultato è lo stesso di quanto detto sopra: Nessus trova una possibile falla (guardando le versioni, le signature dei files, ecc.) ma non la exploita, lasciando nuovamente aperta la porta del possibile falso positivo. Bada bene, non è un problema eh, anzi spesso molte aziende si accontentano di fare un VA senza che le varie vuln identificate vengano poi confermate o smentite. Nel mio modus-operandi ideale non è una buona prassi (resto dell'idea che le vuln debbano sempre venir validate) e infatti insisto sul validare realmente i findings identificati durante un VA, però il mercato è il mercato e spesso ci si accontenta.
Alla fine tutto dipende molto dalla qualità di lavoro che si vuole ricevere/fornire. Un VA da solo è abbastanza inutile, evidenzia solo le problematiche superficiali. Se si vuole fare un bel lavoro, che fornisca davvero del valore aggiunto, si fa in aggiunta un pentest, altrimenti si sta parlando solo di fuffa