Just to add another option to the SSL cert...<br><br>If you need to do a self-signed cert and are using Active Directory, you can also add the CA cert to the trusted CA repository in the domain then replicate it to all your users using group policy.  It is then a trusted cert and the users don&#39;t get a pop-up asking telling them it is a bad cert.  That only works for IE though and not FF.  FF still needs to have the CA cert added to its own trusted CA repository.  Kind of a bummer.<br>
<br>Jason<br><br><br><div class="gmail_quote">On Mon, Jun 8, 2009 at 1:19 PM, Michael McGrew <span dir="ltr">&lt;<a href="mailto:mmcgrew1@mail.csuchico.edu">mmcgrew1@mail.csuchico.edu</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Why not get a proper cert for around $40 instead of teaching your users that it&#39;s OK to accept self signed certs, lending them more prone to a phishing or MITM attack?<div><div></div><div class="h5"><br><br><div class="gmail_quote">
On Mon, Jun 8, 2009 at 7:30 AM,  <span dir="ltr">&lt;<a href="mailto:infolookup@gmail.com" target="_blank">infolookup@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">   Thanks for the feed back so far anyone else wants to state what testing framework or tools the are using preferably open source.<br>

<br>Once I am finish the initial testing my next steps will be to lock it done, configure some sort of self sign cert for apache to use ssl instead of the native http for starters.<div><p>Sent from my Verizon Wireless BlackBerry</p>

</div><p></p><hr align="center" size="2" width="100%"><b>From</b>:  Johan Peder Møller <br><b>Date</b>: Mon, 8 Jun 2009 15:53:49 +0200<br><b>To</b>: &lt;<a href="mailto:infolookup@gmail.com" target="_blank">infolookup@gmail.com</a>&gt;; PaulDotCom Security Weekly Mailing List&lt;<a href="mailto:pauldotcom@mail.pauldotcom.com" target="_blank">pauldotcom@mail.pauldotcom.com</a>&gt;<br>

<b>Subject</b>: Re: [Pauldotcom] Steps taken During a Web App Pentest<br><p></p><div><div></div><div>Hi<br><br>Given your &quot;no buget&quot; constraint, I&#39;d go with something like OWASP Live CD (<a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a>).<br>

<br>If you have a basic understanding of how web appls work, and how to attack them this should give you a starting point. As for the completeness of scannings I can&#39;t say. I myself is in the process of evaluating.<br>

<br>rgds<br>Johan Møller<br><br><br><div class="gmail_quote">On Sat, Jun 6, 2009 at 8:55 PM,  <span dir="ltr">&lt;<a href="mailto:infolookup@gmail.com" target="_blank">infolookup@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

 Hello All:<br><br> I am task with doing a basic web app pentest of a server that we are about to given external users access too.<br><br> Background:<br><br> I work for a university no security department, no budget to hire a auditor.<br>

<br> We are about to put one of our training servers on our DMZ this way Faculty and Staff members can access it from home for  Microsoft and other application video tutorials.<br><br><br> Since my boss is aware that I am interested in infosec I was given the green light to test the app/server and report back anything that can aid in locking it down.<br>

<br> Question:<br><br> Since there are so much tools and ways to go about this I would like to know how do others go about a web app pentest, don&#39;t have to give away any trade secrets  :)-.<br><br> I am just looking for an efficient way to go about this!<br>

<br><br> Specs:<br><br> OS: Windows 2003 running in a VMware, ESX 3.5.<br><br> Application:  Training package, with a bundled windows version of a LAMP setup.<br><br> Acess Method: http.<br><br> Thanks in advance.<br> Sent from my Verizon Wireless BlackBerry<br>

 _______________________________________________<br> Pauldotcom mailing list<br><a href="mailto:Pauldotcom@mail.pauldotcom.com" target="_blank">Pauldotcom@mail.pauldotcom.com</a><br><a href="http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom" target="_blank">http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom</a><br>

 Main Web Site: <a href="http://pauldotcom.com" target="_blank">http://pauldotcom.com</a><br></blockquote></div><br>  </div></div><br>_______________________________________________<br>
Pauldotcom mailing list<br>
<a href="mailto:Pauldotcom@mail.pauldotcom.com" target="_blank">Pauldotcom@mail.pauldotcom.com</a><br>
<a href="http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom" target="_blank">http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom</a><br>
Main Web Site: <a href="http://pauldotcom.com" target="_blank">http://pauldotcom.com</a><br></blockquote></div><br>
</div></div><br>_______________________________________________<br>
Pauldotcom mailing list<br>
<a href="mailto:Pauldotcom@mail.pauldotcom.com">Pauldotcom@mail.pauldotcom.com</a><br>
<a href="http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom" target="_blank">http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom</a><br>
Main Web Site: <a href="http://pauldotcom.com" target="_blank">http://pauldotcom.com</a><br></blockquote></div><br>