<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; ">Interesting. This is something we want to follow up? PHP Remote file includes is one of mine. ALLOW_URL_FOPEN MUST DIE<DIV><BR class="khtml-block-placeholder"></DIV><DIV>thanks,</DIV><DIV>Andrew<BR><DIV><BR><DIV>Begin forwarded message:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><FONT face="Helvetica" size="3" color="#000000" style="font: 12.0px Helvetica; color: #000000"><B>From: </B></FONT><FONT face="Helvetica" size="3" style="font: 12.0px Helvetica">"Rohit Dhamankar" <<A href="mailto:dhamankar@sans.org">dhamankar@sans.org</A>></FONT></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><FONT face="Helvetica" size="3" color="#000000" style="font: 12.0px Helvetica; color: #000000"><B>Date: </B></FONT><FONT face="Helvetica" size="3" style="font: 12.0px Helvetica">17 November 2006 4:48:30 PM</FONT></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><FONT face="Helvetica" size="3" color="#000000" style="font: 12.0px Helvetica; color: #000000"><B>To: </B></FONT><FONT face="Helvetica" size="3" style="font: 12.0px Helvetica"><<A href="mailto:mjc@redhat.com">mjc@redhat.com</A>>, <<A href="mailto:adam.safier@fda.hhs.gov">adam.safier@fda.hhs.gov</A>>, <<A href="mailto:anthony.richardson@arts.monash.edu.au">anthony.richardson@arts.monash.edu.au</A>>, "'<A href="mailto:anton@netForensics.com">anton@netForensics.com</A>'" <<A href="mailto:anton@chuvakin.org">anton@chuvakin.org</A>>, <<A href="mailto:arouse@tandbergtv.com">arouse@tandbergtv.com</A>>, <<A href="mailto:asarwate@qualys.com">asarwate@qualys.com</A>>, <<A href="mailto:buanzo@buanzo.com.ar">buanzo@buanzo.com.ar</A>>, <<A href="mailto:carowe@gtcc.edu">carowe@gtcc.edu</A>>, <<A href="mailto:Cesar.TasconAlvarez@es.ey.com">Cesar.TasconAlvarez@es.ey.com</A>>, <<A href="mailto:chissp50@hotmail.com">chissp50@hotmail.com</A>>, <<A href="mailto:chris.riley.hx81@statefarm.com">chris.riley.hx81@statefarm.com</A>>, <<A href="mailto:christopher.a.bream@us.pwc.com">christopher.a.bream@us.pwc.com</A>>, <<A href="mailto:david.damato@us.pwc.com">david.damato@us.pwc.com</A>>, <<A href="mailto:dhamankar@sans.org">dhamankar@sans.org</A>>, <<A href="mailto:Donald.Smith@qwest.com">Donald.Smith@qwest.com</A>>, <<A href="mailto:ed@mentat.ws">ed@mentat.ws</A>>, <<A href="mailto:eray@netsecdesign.com">eray@netsecdesign.com</A>>, <<A href="mailto:ge@webroot.com">ge@webroot.com</A>>, <<A href="mailto:jesper@amazon.com">jesper@amazon.com</A>>, <<A href="mailto:jfl@csert.ca">jfl@csert.ca</A>>, <<A href="mailto:jgaie@yahoo.com">jgaie@yahoo.com</A>>, <<A href="mailto:Jonathan_Rubin@dom.com">Jonathan_Rubin@dom.com</A>>, <<A href="mailto:jpike@itsfac.com">jpike@itsfac.com</A>>, <<A href="mailto:jtannahi@rogers.com">jtannahi@rogers.com</A>>, <<A href="mailto:khong@knsp.org">khong@knsp.org</A>>, <<A href="mailto:koonyaw.tan@gmail.com">koonyaw.tan@gmail.com</A>>, <<A href="mailto:kotkov7@gmail.com">kotkov7@gmail.com</A>>, <<A href="mailto:leopastor@sinectis.com">leopastor@sinectis.com</A>>, <<A href="mailto:m.shea@communicationvalley.it">m.shea@communicationvalley.it</A>>, <<A href="mailto:marc@sachs.us">marc@sachs.us</A>>, <<A href="mailto:marcos.ferreira@nxsecurity.com">marcos.ferreira@nxsecurity.com</A>>, <<A href="mailto:michel.cusin@bell.ca">michel.cusin@bell.ca</A>>, <<A href="mailto:miguel.guirao@mail.telcel.com">miguel.guirao@mail.telcel.com</A>>, <<A href="mailto:olivier@ousson.com">olivier@ousson.com</A>>, <<A href="mailto:pbueno@gmail.com">pbueno@gmail.com</A>>, <<A href="mailto:rd@rd1.net">rd@rd1.net</A>>, <<A href="mailto:Rhodri.Davies@vistorm.com">Rhodri.Davies@vistorm.com</A>>, "'Rob King'" <<A href="mailto:rking@tippingpoint.com">rking@tippingpoint.com</A>>, "'<A href="mailto:root@penchantforevil.org">root@penchantforevil.org</A>'" <<A href="mailto:root@penchantforevil.com">root@penchantforevil.com</A>>, "'<A href="mailto:russ@holisticinfosec.org">russ@holisticinfosec.org</A>'" <<A href="mailto:holisticinfosec@gmail.com">holisticinfosec@gmail.com</A>>, <<A href="mailto:rwanner@pobox.com">rwanner@pobox.com</A>>, <<A href="mailto:syedma@microland.net">syedma@microland.net</A>>, "'<A href="mailto:vanderaj@greebo.net">vanderaj@greebo.net</A>'" <<A href="mailto:vanderaj@owasp.org">vanderaj@owasp.org</A>></FONT></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><FONT face="Helvetica" size="3" color="#000000" style="font: 12.0px Helvetica; color: #000000"><B>Subject: </B></FONT><FONT face="Helvetica" size="3" style="font: 12.0px Helvetica"><B>Data</B></FONT></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><BR></DIV>  <DIV class="Section1"><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">Hi all:<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P>†</O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">Definitely upsetting to see folks like Richard Bejtlich posting on the blogs stating that the Top-20 is based on opinions rather than fact.<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P>†</O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">I have, in the past, not gone ahead and shared this data with you all as it was not sanitized to take out the customer ip addresses etc. But, am doing so now (please donít share still!), so that you feel that what we put in is not fictitious and based on some real-data backing. Of course, no one person on earth can have the data from all networks! SANS has data from the Storm Center, Qualys has data from its scanning and the input is taken before we make the list,<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P>†</O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">Rohit<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P>†</O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P>†</O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="3" face="Times New Roman"><SPAN style="font-size: 12.0pt"><O:P>†</O:P></SPAN></FONT></P> </DIV> <IMG src="cid:82EA7554-6A6A-4ECC-8884-7B75EA5BC862@local"><IMG src="cid:60923517-F4FC-4154-82AF-7E0109D5163B@local"></BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>