Security audit

    Door een interne security audit van Ernst & Young op 1 van de sites voor een klant, ondergaat onze server op dit moment een aantal zware testen op het vlak van security.

    Hierdoor kan CriminalsPoint mogelijk tijdelijk trager laden.

    Er worden op dit moment 17.000 verschillende exploits en bugs getest op onze server.

    De conclusies die we kunnen trekken voor deze klant zullen ook worden opgevolgd op CriminalsPoint. Zo kunnen we jullie een nog betere kwaliteit aanbieden.

    Bedankt voor jullie begrip.


    Ps: indien jullie geïnteresseerd zijn publiceer ik na het patchen van de mogelijk gevonden fouten het rapport hier online. (h)

  • Guest, wil je besparen op je domeinnamen? (ad)

    Scan afgelopen.

    Veel rommel uitgekomen die niet klopt.
    Bv: het blokkeren van de /icons standaard map in apache.
    Zal ik doen, maar zie het nut er niet van in.
    Alsof niemand weet dat die map bestaat... (xD)

    Er is wel 1 aanbeveling bij die ik effectief ga uitvoeren.
    Meer informatie volgt.
    (Is een kleintje, niet belangrijk, 1 minuutje werk).
    Komt er op neer om iets dat bijna niet meer gebruikt wordt in het echt uit te schakelen. Gewoon voor de zekerheid naar de toekomst toe.
    Hack kans via deze fout is zeer laag, want er moet eerst een andere hack mogelijk zijn voor deze valt uit te voeren.

    Man, wat moet ik hier weer cryptisch zijn...

    Of weet je wat: wie het raadt krijgt elite status van me (xD)

    Ps: neen, je mag onze server niet gaan scannen.
    Kan je een permanente ban opleveren op onze servers.
    Trouwens, na 10 requests word je toch geblokkeerd.
    Als ik je ip niet in de uitzonderingenlijst zet, is je attack tijdverspilling voor jezelf.

    @Koen
    Wil niet bijdehand overkomen maar een attacker gebruikt echt niet zijn eigen IP adres.
    Dan moet je wel behoorlijk dom zijn als je dat doet aangezien 9/10 een proxy gebruiken.

    Tevens zal je ook onschuldigen blockeren die (waarschijnlijk) niks van de attack afweten.

    En wat bedoel je met 10 requests?
    Dus als ik nu 10x F5 ram heb ik een serverwide te pakken?

    Koen zo te zien was het dus eigenlijk een beetje nuteloos die scan als er alleen maar rommel uit kwam bijna.

    Of zit er toch weer iets bij wat wij niet mogen weten (a).

    In iedergeval hier: :cheer:, een biertje voor je goeie werk :D

    http://nl.wikipedia.org/wiki/Capgemini
    => Is ontstaan blijkbaar mee uit Ernst & Young, een afdeling ervan, maar is onafhankelijk gaan werken.

    Nee, echt waar, geen grote fouten ontdekt.

    Een scan is nooit nutteloos, je moest toch maar eens iets vergeten.
    + Nu kunnen wij aan die klant de zekerheid geven dat de veiligheid in orde is, het is getest door Ernst & Young (ook al heb ik het zelf gedaan - dit werk zal wel worden nagekeken door een collega, dus er is wel degelijk assurance over de kwaliteit - onafhankelijkheid blijft gewaarborgd).

    @koen
    toch netjes dat ze weinig tot niks konden vinden wat echt gevoelig is.

    Verder vind ik testen nooit nutteloos, zoals koen aangeeft ben je slechts een mens en vergeet je wel eens wat.
    Als je dit niet test zul je er ook nooit achter komen.

    Me eigen server admin had HELE domme fouten die gelukkig gevonden zijn en opgelost.
    Conclusie is dus dat een scan nooit nutteloos zal zijn maar je echt kan helpen.


    :cheer:

    Volgens m'n vader heeft Capgemini ooit een gedeelte van Ernst & Young overgenomen.
    De medewerkers van Ernst & Young die overgegaan zijn naar Capgemini wouden hun naam houden, waardoor het: "Capgemini - Ernst & Young" ging heten, tot vorig jaar, en nu heet het weer "Capgemini".
    En ik heb het over het Nederlandse gedeelte van Cap & EY, hoe het in België zit wil ik niet weten.

    Dus Capgemini bestond al langer, wikipedia heeft het over de wereld, niet zo zeer alleen Nederland.
    En wie weet het beter dan een werknemer die vroeger bij EY en nu bij Cap werkt?

    Lars

    Nieuwe reactie samengevoegd met originele reactie op 09.03.10 17:59:29:
    Oja, btw.
    Ik heb het over de jaren 90-heden.

    Ik kan uit je bericht helaas niet helemaal opmaken wat er nu precies is getest. Ik denk de server? Ja, wat van de server, Apache, de HTTP-server, of veel globaler?

    En misschien is het voor CP wel eens interessant te gaan unittesten. Komt denk ik wel wat interessants uit.;)

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login