<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PersonName"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>I think this is a good idea and I’m
leaning towards: </span></font><b><i><span style='font-weight:bold;font-style:
italic'>A3 - Malicious File Execution<o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><font size=3 face="Times New Roman"><span
style='font-size:12.0pt;font-weight:bold;font-style:italic'><o:p> </o:p></span></font></i></b></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>I don’t think Malicious Code Execution is a good name as that crosses
over into the Injection flaws area (or could be misinterpreted as such). <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Isn’t the problem both about remote file execution AND remote file
access? i.e., I would hope that reaching in and pulling out a machine’s
password file because I can include path information in the file download function
would fall into this category. And the fact that I can upload a PHP file to
execute, or upload an Image File with embedded Javascript and then get that to
execute in a victim’s browser would both count too, right?<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>If so, then should the name by ‘Unsafe File Access’? Or something like
that?<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Jeff is in a meeting now but if you have more thoughts on this Dinis,
please send so I can discuss with him when he is done with his call.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Thanks, Dave<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
owasp-board-bounces@lists.owasp.org
[mailto:owasp-board-bounces@lists.owasp.org] <b><span style='font-weight:bold'>On
Behalf Of </span></b>Dinis Cruz<br>
<b><span style='font-weight:bold'>Sent:</span></b> Monday, January 29, 2007
10:13 AM<br>
<b><span style='font-weight:bold'>To:</span></b> owasp-board@lists.owasp.org<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Owasp-board] OWASP
Top 10 ... Done!</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Hi Dave, I just had a
quick chat with Andrew about one medium change (it was quicker to talk than to
write)<br>
<br>
Basically I asked if we could change <b><i><span style='font-weight:bold;
font-style:italic'>A3 – Insecure Remote File Include </span></i></b>to <b><i><span
style='font-weight:bold;font-style:italic'>A3 - Malicious Remote File Execution</span></i></b><i><span
style='font-style:italic'> </span></i>(or even <b><i><span style='font-weight:
bold;font-style:italic'>A3 - Malicious File Execution</span></i></b> or even <b><i><span
style='font-weight:bold;font-style:italic'>A3 - Malicious Code Execution</span></i></b>)
since this covers the PHP remote file include issue, XSS/XSD Injections, remote
file upload via uploadFile.aspx/uploadFile.jsp and using reflection to invoke
.Net/Java classes directly. it also makes reference to the real problem that
our web apps today have that their security (and the surrounding environment)
are depended on the non-execution of malicious code. <br>
<br>
Of course one of the solutions for this is to use Sandboxes that limit what
that code can do :)<br>
<br>
Jeff, Dave, what do you think? (Andrew was ok with it and (after talking to
Jeff today) is able to make these small changes) <br>
<br>
I think that the proposed title is a good compromise between Andrew's request
to have the PHP remote include in there and my request to have sandbox issue in
there (and it affects ALL web apps, so it is not PHP specific). <br>
<br>
Sorry for not raising this issue earlier, but I was looking the proposed new
title (which only occurred to me this weekend)<br>
<br>
Dinis<br>
<br>
<br>
<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><span class=gmailquote><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>On 1/29/07, <st1:PersonName w:st="on"><b><span
 style='font-weight:bold'>Dave Wichers</span></b></st1:PersonName> <<a
href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>> wrote:</span></font></span><o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Andrew,<br>
<br>
Excellent job finishing all this up. Looks great. I did one more quick pass<br>
through your changes and made a few more minor edits / corrections.<br>
<br>
It is attached and I agree it's ready to go.<br>
<br>
Jeff/Dinis?<br>
<br>
-Dave<br>
<br>
-----Original Message-----<br>
From: Andrew van der Stock [mailto:<a href="mailto:vanderaj@aspectsecurity.com">vanderaj@aspectsecurity.com</a>]<br>
Sent: Monday, January 29, 2007 2:51 AM<br>
To: <st1:PersonName w:st="on">Jeff Williams</st1:PersonName>; <st1:PersonName
w:st="on">Dave Wichers</st1:PersonName>; Dinis Cruz<br>
Subject: OWASP Top 10 ... Done!<br>
<br>
Hi guys,<br>
<br>
I've spent a goodly portion of this weekend going through the Top 10 Dave<br>
sent through with a fine tooth comb.<br>
<br>
Some of the changes:<br>
<br>
* Fixed / resolved all of Dave's comments and yellow text<br>
* Replaced some text to be clearer (generally near where Dave's comments<br>
were)<br>
* Updated graph and tables to adhere to new chapter names and update the <br>
stats as per their raw values<br>
* Fitted the summary onto a single page<br>
* All samples in all 10 chapters actually go somewhere useful<br>
* Improved links and references<br>
* Added one new section (Vulnerabilities, not attacks) as one comment I got <br>
from Jeremiah re: my ToC post to my blog last month, was that the ToC<br>
doesn't deal with phishing, identity theft, etc. So I added a section<br>
showing how this T10 deals with those sorts of attacks and a few others <br>
<br>
Dinis/Jeff/Dave, if you're happy, I'm happy with this draft and I consider<br>
it ready to be forwarded to -leaders and the T10 list. Even if it's now not<br>
as perfect as it could be, I think we can make further changes during the <br>
comments period rather than hanging on to it any longer.<br>
<br>
It's time to get this baby out the door!<br>
<br>
Thanks,<br>
Andrew<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
Owasp-board mailing list <br>
<a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a><br>
<a href="http://lists.owasp.org/mailman/listinfo/owasp-board">http://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br>
<br>
<o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
<br clear=all>
<br>
-- <br>
Dinis Cruz<br>
Chief OWASP Evangelist, Are you a member yet?<br>
<a href="http://www.owasp.org">http://www.owasp.org</a> <o:p></o:p></span></font></p>

</div>

</body>

</html>