This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
teaching_activities:cvss [2016/05/03 13:24] luca.allodi@unitn.it [Introduzione al CVSS] |
teaching_activities:cvss [2021/01/29 10:58] (current) |
||
---|---|---|---|
Line 1: | Line 1: | ||
- | {{:teaching:cvss:unitn.png?200 |http://disi.unitn.it}}{{:teaching:cvss:oracle_comsec.png?250 |https://www.oracle.com/it/technologies/security/partner-171975-ita.html}}{{:teaching:cvss:clusit_logo.jpg?130 |http://www.clusit.it}}{{:teaching:cvss:logo.uff.da.marcomm.aused_logo.png?150 |http://www.aused.org}} | + | [[http://disi.unitn.it|{{:teaching:cvss:unitn.png?200 |http://disi.unitn.it}}]] [[https://www.oracle.com/it/technologies/security/partner-171975-ita.html|{{:teaching:cvss:oracle_comsec.png?250 |}}]] [[http://www.clusit.it|{{:teaching:cvss:clusit_logo.jpg?130 |}}]] [[http://www.aused.org|{{:teaching:cvss:logo.uff.da.marcomm.aused_logo.png?150 |}}]] |
====== Training day on the usage of the Common Vulnerability Scoring System ====== | ====== Training day on the usage of the Common Vulnerability Scoring System ====== | ||
- | The University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the [[https://www.first.org/cvss|Common Vulnerability Scoring System (CVSS)]], the worldwide standard for software vulnerability scoring. | + | The [[:start|Security Group of the University of Trento]], with the support of [[https://www.oracle.com/it/technologies/security/partner-171975-ita.html|Oracle Community for Security]], [[http://www.clusit.it|Clusit]], and [[http://www.aused.org|Aused]] holds a training day for security professionals on the [[https://www.first.org/cvss|Common Vulnerability Scoring System (CVSS)]], the worldwide standard for software vulnerability scoring. |
===== Training day – executive summary (English) ===== | ===== Training day – executive summary (English) ===== | ||
Line 18: | Line 18: | ||
The course will be held in Italian, but all the material will be in English. | The course will be held in Italian, but all the material will be in English. | ||
- | What follows is an activity description (in Italian) of the training day. For any information feel free to contact luca [dot] allodi [at] unitn [dot] it. | + | What follows is general introduction to the standard and a few details to subscribe to this event (in Italian). |
+ | For information on replicating this course or technical content please contact <luca.allodi@unitn.it> | ||
+ | For registration information, please see below at the end. | ||
- | ===== Descrizione del corso ===== | + | |
+ | ===== Descrizione del corso (Italian) ===== | ||
Line 51: | Line 54: | ||
L’utilizzo corretto di CVSS da parte dell’assessor richiede: | L’utilizzo corretto di CVSS da parte dell’assessor richiede: | ||
- | - La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione. | + | * La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione. |
- | - La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto. | + | * La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto. |
- | - La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard. | + | * La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard. |
La Figura sottostante esemplifica schematicamente l’attività dell’assessor. | La Figura sottostante esemplifica schematicamente l’attività dell’assessor. | ||
Line 68: | Line 71: | ||
È richiesta inoltre: | È richiesta inoltre: | ||
- | - Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc. | + | * Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc. |
- | - Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard. | + | * Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard. |
==== Modalità di iscrizione. ==== | ==== Modalità di iscrizione. ==== | ||
Line 76: | Line 78: | ||
Contattare la Oracle Security Community: <securityCommunity_it@oracle.com> | Contattare la Oracle Security Community: <securityCommunity_it@oracle.com> | ||
+ | |||
+ | ==== Agenda della giornata ==== | ||
+ | |||
+ | 10.00 -> 11.30: introduzione al CVSS base score ed esercizi | ||
+ | |||
+ | 11.30 -> 11.45: break | ||
+ | |||
+ | 11.45 -> 13.30: vulnerability assessment exercise individuale | ||
+ | |||
+ | 13.30 -> 14.30: pausa pranzo | ||
+ | |||
+ | 14.30 -> 16.00: introduzione alle metriche CVSS Scope, Temporal ed Environmental ed esercizi |