Don&#39;t know how many are on the testing list, but the new guide work begins. <br><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Matteo Meucci</b> <span dir="ltr">&lt;<a href="mailto:matteo.meucci@gmail.com">matteo.meucci@gmail.com</a>&gt;</span><br>

Date: Sun, Jul 18, 2010 at 18:13<br>Subject: [Owasp-leaders] OWASP Testing Guide v4: start-up<br>To: owasp-testing &lt;<a href="mailto:owasp-testing@lists.owasp.org">owasp-testing@lists.owasp.org</a>&gt;, Owasp leaders &lt;<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>&gt;<br>

<br><br>Hi all,<br>
thanks to the OWASP Foundation, it&#39;s time to start-up with a new OWASP<br>
Testing Guide project!<br>
<br>
Introduction and Project purpose for v4:<br>
============================<br>
The OWASP Testing Guide v3 includes a &quot;best practice&quot; penetration<br>
testing framework which users can implement in their own organizations<br>
and a &quot;low level&quot; penetration testing guide that describes techniques<br>
for testing most common web application and web service security<br>
issues. Nowadays the Testing Guide has become the standard to perform<br>
a Web Application Penetration Testing and many Companies all around<br>
the world have adopted it.<br>
It is vital for the project mantaining an updated project that<br>
represents the state of the art for WebAppSec.<br>
<br>
Project Roadmap<br>
=============<br>
- 1st phase: Brainstorming<br>
18th July 2010: starting a brainstorming with the OWASP Leaders and<br>
project contributors to share goals and project&#39;s objectives.<br>
The following are the main improvements we have to realize:<br>
- Inserting new testing techniques, OWASP Top10 update: HTTP Verb<br>
tampering, HTTP Parameter Pollutions, URL Redirection, Insecure Direct<br>
Object References, Insecure Cryptographic Storage, Failure to Restrict<br>
URL Access, Insufficient Transport Layer Protection, Unvalidated<br>
Redirects and Forwards.<br>
- Review and improve all the sections in v3,<br>
- Create a more readable guide, eliminating some sections that are not<br>
really useful, Rationalize some sections as Session Management<br>
Testing,<br>
- Create a new section: Client side security and Firefox extensions testing.<br>
- Create a test case for each test to perform using O2 platform<br>
<br>
- 2nd phase: Set-up the team<br>
15th August: Introduce the new project to the OWASP mailing list<br>
seeking for contributors. We need to involve also the final users of<br>
the Testing Guide (for example Banking Companies to understand how<br>
they would like to improve that).<br>
<br>
- 3rd phase: Create a new Index<br>
15th September: creating a new table of contents of the OTGv4<br>
assigning a task for each contributor.<br>
Here is the v3 Index:<br>
<a href="http://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents" target="_blank">http://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents</a><br>
<br>
- 4th phase:  Writing and reviewing<br>
1st October 2010: Starting writing<br>
1st November 2010:Starting the first review phase,<br>
15th November 2010: Starting writing articles II phase,<br>
1st December 2010: Starting the second review phase,<br>
15th December 2010: Create the RC1,<br>
15th January 2011: Release the version 4.<br>
<br>
1st phase<br>
=======<br>
Now, we are at the 1st phase, and I think this phase it&#39;s the most<br>
important to create a solid project as we saw from the last versions.<br>
This time I found really important to open a debate about the following item.<br>
<br>
- OWASP vulnerabilities -<br>
The OWASP Testing Guide checklist represents the set of controls to<br>
test: <a href="http://www.owasp.org/index.php/Testing_Checklist" target="_blank">http://www.owasp.org/index.php/Testing_Checklist</a><br>
We divided it into 10 categories (Information Gath, Config. Mng,<br>
Authentication, etc...). For each category we tell what test to<br>
perfom.<br>
The last column tells you what vulnerability you can find if the test<br>
demonstrate a weakness of the application.<br>
Now I see that the list of vulnerabilities is not alligned with all<br>
the OWASP Guides.<br>
Imo the point is that is foundamental to create a list of OWASP<br>
Vulnerabilities shared between the OWASP projects. Why?<br>
Because the OWASP DevGuide, Code Review and Testing Guide should be<br>
linked to this common KB: in this way the 3 projects are linked<br>
between the others and Companies can uderstand for each vuln how to<br>
protect from this vuln (Dev), how to review that code (CR), and how to<br>
test the app running (TG). Then because it is very important for the<br>
Companies have a full list of the possible WebAppSec vulns (I think<br>
there is a lack now).<br>
<br>
At this time we have: <a href="http://www.owasp.org/index.php/Category:Vulnerability" target="_blank">http://www.owasp.org/index.php/Category:Vulnerability</a><br>
But this list does not represents what I mean.<br>
I would like to start from the OWASP Testing Guide checklist and<br>
collect all the vulnerabiities we can find from the last column, add<br>
the new ones. Then maybe Eoin&#39;s team should add the white box<br>
vulnerabilities: we know some are the same of the black box<br>
assessment, but others can be found only perfoming a Code Review, for<br>
example &quot;Backdoor in the code&quot;. Then the Dev Guide team should point<br>
to this set of vulnerabilities telling how to write code to protect<br>
the application for each vulnerability.<br>
<br>
What do you think about that?<br>
<br>
Thanks,<br>
Mat<br>
<br>
--<br>
Matteo Meucci<br>
OWASP-Italy Chair, CISSP, CISA<br>
<a href="http://www.owasp.org/index.php/Italy" target="_blank">http://www.owasp.org/index.php/Italy</a><br>
OWASP Testing Guide lead<br>
<a href="http://www.owasp.org/index.php/Testing_Guide" target="_blank">http://www.owasp.org/index.php/Testing_Guide</a><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div><br><br clear="all"><br>-- <br><b><font face="&#39;trebuchet ms&#39;, sans-serif"><font color="#006600">Hari</font></font></b><font face="&#39;trebuchet ms&#39;, sans-serif"> <font color="#006600">Pudipeddi</font><br>

<font color="#993399">+91.98860 01976 Mobile</font></font><br><br><div><a href="http://www.harinathpv.com" target="_blank"><font color="#009900"><b><font face="garamond, serif">Blog</font></b></font></a> | <a href="http://www.Dazasya.in" target="_blank"><font color="#3333FF"><b><font face="garamond, serif">Dazasya</font></b></font></a> | <a href="http://www.HeadStart.In" target="_blank"><font color="#CC0000"><b><font face="garamond, serif">HeadStart</font></b></font></a> | <a href="http://www.owasp.org/index.php/Bangalore" target="_blank"><b><font face="garamond, serif"><font color="#993300">OWASP</font></font></b></a></div>

<div><br></div><br>