Great answers and Ideas Jeff<br><br>I can see that you updated the <a href="http://www.owasp.org/index.php/OWASP_student_projects" title="OWASP student projects">OWASP student projects</a>  page :)<br><br>Also, can you gain the habit of add links to new pages and relevant changes (like this one) to the 
<a href="http://www.owasp.org/index.php/OWASP_Newsletter_3#Latest_additions_to_the_WIKI%20page">http://www.owasp.org/index.php/OWASP_Newsletter_3#Latest_additions_to_the_WIKI page</a> ?<br><br>That will make my and Aaron live easy
<br><br>Thanks<br><br>---------- Forwarded message ----------<br><span class="gmail_quote">From: <b class="gmail_sendername">Jeff Williams</b> <<a href="mailto:jeff.williams@owasp.org">jeff.williams@owasp.org</a>><br>
Date: Jan 16, 2007 4:12 PM<br>Subject: RE: OWASP thesis project<br>To: <a href="mailto:s051033@student.dtu.dk">s051033@student.dtu.dk</a>, Dinis Cruz <<a href="mailto:dinis@ddplus.net">dinis@ddplus.net</a>><br><br></span>
Hi Van,<br><br>Here are a few ideas.<br><br> - Write a tool that takes the output of static analysis and turns it into<br>penetration test cases<br><br> - Make WebScarab generate, record, and playback security test cases (think
<br>JUnit) so that you can do regression security testing<br><br> - Build an open threat modeling tool like Microsoft's but not so ridiculous<br><br> - Adding true data flow analysis to LAPSE. Check out the jDFA project at
<br>sourceforge to see whether that can be applied to find tainted data attacks<br>like XSS and SQL injection (as well as others)<br><br> - Security metrics from static analysis. Currently people stop at SLOC<br>count.  Build a tool that generates something like this label
<br>(<a href="http://www.owasp.org/index.php/Types_of_application_security_metrics">http://www.owasp.org/index.php/Types_of_application_security_metrics</a>) and<br>it could get a lot of attention.<br><br> - Integrated security activities across the lifecycle.  Currently people
<br>are talking about "touchpoints" and "activities" but there's no unifying<br>line of sight or theme.<br><br> - Honeycomb.  I know it seems simple, but when you start trying to organize<br>ALL the information that's out there it gets incredibly difficult.  The
<br>simple taxonomies are wrong, bad, and misleading.  Honeycomb is using a<br>folksonomy approach that I hope will allow us to do something new here.  But<br>it really needs someone to think it through - perfect for a thesis.
<br><br>- Honeycomb+Tools.  Integrating the Honeycomb information into tools would<br>be incredibly helpful.  Things like the OWASP report generator need it.<br>Threat modeling tools need it.  Scanners need it.  We need to prepare the
<br>information there for tool use.<br><br>That's a few off the top of my head. Let me know what sounds interesting and<br>I'd be happy to think some more about it.<br><br>--Jeff<br><br>Jeff Williams, Chair<br>The OWASP Foundation
<br>work: 410-707-1487<br>main: 301-604-4882<br><br>"Dedicated to finding and fighting the causes of insecure software"<br><br>-----Original Message-----<br>From: Van Vu [mailto:<a href="mailto:s051033@student.dtu.dk">
s051033@student.dtu.dk</a>]<br>Sent: Tuesday, January 16, 2007 11:04 AM<br>To: Dinis Cruz<br>Cc: <a href="mailto:owasp@owasp.org">owasp@owasp.org</a><br>Subject: OWASP thesis project<br>Importance: High<br><br>Dear Mr.Dinis
 and gurus,<br>My name is Van and i am a M.Sc. student from DTU (Denmark). My field of<br>study is about computer security and i am searching for a thesis topic. I<br>am a new member of OWASP so i aware that our organization offers some
<br>student projects. I have checked the guideline:<br><a href="http://www.owasp.org/index.php/OWASP_student_projects">http://www.owasp.org/index.php/OWASP_student_projects</a><br>"web application security metrics" is a *thesis level* project but i'd
<br>like to avoid it, at least for now because it is *too abstract*. About the<br>remaining projects, it seems that the requirements stop at level of doing<br>literature survey (sorry, this is just my subjective remark). My preferred
<br>work is to write software for penetration testing. For example, it could<br>be a tool to prevent DoS attack caused by flood of XmlRequests in AJAX. I<br>will comb the pool of posted topics again, especially the ones about Web
<br>2.0 to see if i miss something that has not been done before. To<br>accelerate my process, i'd be grateful if you can drop me some hint about<br>idea at the *thesis level* that one of your working group want to exploit.
<br>I am willing to joint such a working group to do my thesis and never my<br>big work as i can invest up to 8 months for it.<br>Please feel free to circulate my mail in our community if it can help to<br>speed up the process. Well, i need to report progress to my supervisor by
<br>the end of this month.<br>Thank you very much for your help.<br>------------<br>Best regards,<br>Dinh Van Vu (Van)<br>IMM Department-Denmark Technical University<br>Mobile nr.:  (+45)40783319<br><br><br clear="all"><br>
-- <br>Dinis Cruz<br>Chief OWASP Evangelist, Are you a member yet?<br><a href="http://www.owasp.org">http://www.owasp.org</a>