<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=utf-8">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Cambria;
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
h1
        {mso-style-priority:9;
        mso-style-link:"Heading 1 Char";
        margin-top:24.0pt;
        margin-right:0cm;
        margin-bottom:0cm;
        margin-left:0cm;
        margin-bottom:.0001pt;
        page-break-after:avoid;
        font-size:14.0pt;
        font-family:"Cambria","serif";
        color:#365F91;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.Heading1Char
        {mso-style-name:"Heading 1 Char";
        mso-style-priority:9;
        mso-style-link:"Heading 1";
        font-family:"Cambria","serif";
        color:#365F91;
        font-weight:bold;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle26
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-GB link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='color:#1F497D'>Hello Chris,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>I thank your answer. Relatively
to the </span><span lang=EN-US style='color:#1F497D'>exception of signing the
Assignment of Copyright Agreement that you are proposing, we need to hear from
both OWASP Board and its Projects Committee. I am sure they will respond us as
soon as possible.</span><span style='color:#1F497D'><o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><a
href="http://www.owasp.org/index.php/Assignment_of_Copyright_Agreement">http://www.owasp.org/index.php/Assignment_of_Copyright_Agreement</a><o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Many thanks, best regards,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div>

<p class=MsoNormal><span style='color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=PT style='color:#1F497D'><a
href="https://www.owasp.org/index.php/Main_Page"><span lang=EN-GB
style='color:blue'>OWASP Project Manager</span></a></span><span
style='color:#1F497D'><o:p></o:p></span></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Chris Weber
[mailto:chris@casabasecurity.com] <br>
<b>Sent:</b> sexta-feira, 9 de Julho de 2010 05:15<br>
<b>To:</b> 'Paulo Coimbra'<br>
<b>Cc:</b> 'Global Projects Committee'<br>
<b>Subject:</b> RE: Watcher idea<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Hi Paulo, with the
exception of signing the Assignment of Copyright Agreement I’d be happy to move
Watcher and x5s to OWASP projects.  Let me know if that’s acceptable to
you.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Best regards,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Chris Weber, CSSLP<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Casaba Security, LLC<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Sofware Security
Products and Services<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Mobile: (949)
637-4155<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Email: <a
href="mailto:chris@casabasecurity.com">chris@casabasecurity.com</a><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><a
href="http://www.casabasecurity.com/">www.casabasecurity.com</a> <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Paulo Coimbra [mailto:paulo.coimbra@owasp.org]
<br>
<b>Sent:</b> Wednesday, June 30, 2010 9:08 AM<br>
<b>To:</b> 'Chris Weber'<br>
<b>Cc:</b> 'Global Projects Committee'<br>
<b>Subject:</b> RE: Watcher idea<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Hello Chris,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Thank you for getting back to
us. Although I am copying carbon our Global Projects Committee to give its
members to correct my answers, please see below my responses to your questions.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Best regards, <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div>

<p class=MsoNormal><span style='color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><a href="https://www.owasp.org/index.php/Main_Page">OWASP
Project Manager</a><span style='color:#1F497D'><o:p></o:p></span></p>

</div>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Chris Weber
[mailto:chris@casabasecurity.com] <br>
<b>Sent:</b> quarta-feira, 23 de Junho de 2010 23:40<br>
<b>To:</b> 'Paulo Coimbra'<br>
<b>Subject:</b> RE: Watcher idea<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Hi Paulo, and thanks
for the information.  I have a few questions.  One project is release
material, the other is beta.  We have a custom license that is very
BSD-like.  I’d be happy to provide a roadmap and such for the GPC’s
review.<o:p></o:p></span></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'>[pc] As a
methodology to sustain the transition process, I propose we begin by rating
both releases as alpha ones until we have the opportunity to assess them in
accordance with the OWASP Assessment Criteria.<o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'>Please see:<o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><a
href="http://www.owasp.org/index.php/Assessing_Project_Releases">http://www.owasp.org/index.php/Assessing_Project_Releases</a>
and <a href="http://www.owasp.org/index.php/Tool_Assessment_Criteria">http://www.owasp.org/index.php/Tool_Assessment_Criteria</a><o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Currently our
projects are hosted on Codeplex, is it okay to keep them there?  Would I
need to duplicate the wiki and release binaries on the OWASP source?<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'>[pc] The </span><span
style='color:#1F497D'>source code and any documentation should be available in
an online project repository. We preferably use Google Code or Sourceforge. </span></i></b><b><i><span
lang=EN-US style='color:#1F497D'><o:p></o:p></span></i></b></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>By setting up our
tools as OWASP projects, do we maintain copyright on the work or does OWASP
seek that?  <o:p></o:p></span></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'>[pc] OWASP
proposes you sign up this <a
href="http://www.owasp.org/index.php/Assignment_of_Copyright_Agreement">http://www.owasp.org/index.php/Assignment_of_Copyright_Agreement</a>
</span><span style='color:#1F497D'>Assignment of Copyright Agreement. Please
see also <a href="http://www.owasp.org/index.php/OWASP_Licenses">http://www.owasp.org/index.php/OWASP_Licenses</a>.
<o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><span style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>How do we benefit by
making our tools OWASP projects?  Is it more community outreach and
possible inclusion in the OWASP press materials like Top Ten and tools to
assist in finding them?<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><b><i><span lang=EN-US style='color:#1F497D'>[pc] In a
nutshell, I’d say OWASP </span><span style='color:#1F497D'>could potentially
bring more eyeballs as well as potential contributors & money to your
effort.<o:p></o:p></span></i></b></p>

<p class=MsoNormal><b><i><span style='color:#1F497D'><o:p> </o:p></span></i></b></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><a
href="http://www.owasp.org/images/3/3f/2009AnnualReport.pdf">http://www.owasp.org/images/3/3f/2009AnnualReport.pdf</a><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><a
href="http://www.owasp.org/index.php/OWASP_Summer_of_Code_2008">http://www.owasp.org/index.php/OWASP_Summer_of_Code_2008</a><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><a
href="http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects#Project_Sponsorship">http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects#Project_Sponsorship</a><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Many thanks, best
regards,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Thank you,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'>Chris<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='color:#1F497D'><o:p> </o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Paulo Coimbra
[mailto:paulo.coimbra@owasp.org] <br>
<b>Sent:</b> Tuesday, June 22, 2010 8:09 AM<br>
<b>To:</b> chris@casabasecurity.com<br>
<b>Cc:</b> 'Dave Wichers'; 'Kate Hartmann'; 'Global Projects Committee'<br>
<b>Subject:</b> RE: **VL-JUNK** RE: Watcher idea<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Hello Chris,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>                        
<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>First of all, thank you for
volunteering to lead two OWASP Projects.  It is with volunteers like
yourself that OWASP continues to succeed in making application security
visible.<br>
<br>
Second, regarding your new leadership of these two projects, I'd like to
request that you send a project roadmap (one for each project) - basically the
high level details of where you'd like to take the projects.  The OWASP
Global Projects Committee (GPC) will look at the roadmap and provide feedback
on your projects:  suggesting projects which are closely related,
resources and contacts which may assist your efforts and any other suggestions
to increase your project's success.<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>To get your projects started,
here are a couple of references for your review:<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> - The Guidelines for OWASP
Projects provide a quick overview of items key to a projects success - <a
href="http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects">http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects</a>,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><br>
 - OWASP's Assessment Criteria is the metric by which projects are
evaluated.  There are three categories for projects: Alpha, Beta, and
Release.  The Assessment Criteria allows project leaders to know what
aspects of projects OWASP values - <a
href="http://www.owasp.org/index.php/Category:OWASP_Project_Assessment">http://www.owasp.org/index.php/Category:OWASP_Project_Assessment</a>,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> - OWASP's GPC blog - <a
href="http://globalprojectscommittee.wordpress.com/">http://globalprojectscommittee.wordpress.com/</a>,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><br>
Your projects will have an OWASP wiki page to inform and promote your project
to the OWASP community.  To setup your projects’ page, please provide the
details below so that the GPC can establish your initial projects pages. 
The details provided will be used to complete OWASP's projects template. 
Feel free to add any additional information to wiki pages or request assistance
about how to add to your projects wiki page.<br>
<br>
Details to create your projects page:<br>
(0) Projects Names,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>(1) Projects purposes /
overview,<br>
(2) Projects Roadmaps (as mentioned above),<br>
(3) Projects links (if any) to external sites,<br>
(4) Projects License (<a
href="http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects#Project_Licensing">http://www.owasp.org/index.php/Guidelines_for_OWASP_Projects#Project_Licensing</a>),<br>
(5) Projects Leader name, <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>(6) Projects Leader email address,<br>
(7) Projects Leader wiki account - the username (you'll need this to edit the
wiki),<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>(8) Project Contributor(s) (if
any) - name email and wiki account (if any),<br>
<br>
As your projects reach a point that you'd like OWASP to assist in its
promotion, the GPC will need the following to help spread the word about your
projects:<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> * Conference style
presentation describing the projects in at least 3 slides - <a
href="http://globalprojectscommittee.wordpress.com/2009/07/27/what-is-the-3x-slide-presentation-thing/">http://globalprojectscommittee.wordpress.com/2009/07/27/what-is-the-3x-slide-presentation-thing/</a><o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><br>
 * Project Flyer/Pamphlet (PDF file) - <a
href="http://globalprojectscommittee.wordpress.com/2009/07/21/what-is-this-project-flyerpamphlet-thing/">http://globalprojectscommittee.wordpress.com/2009/07/21/what-is-this-project-flyerpamphlet-thing/</a><o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><br>
As work on your projects progresses and you are ready to create a release,
please let the GPC know of the change in status.  The GPC can work with
you to get your projects assessed and moved up the OWASP quality ladder from
Alpha to Beta to Stable.  Every release does not require an assessment -
feel free to email the GPC if you are unsure about your projects’
requirements.  For examples of projects at various quality levels, please
see the OWASP Project page - <a
href="http://www.owasp.org/index.php/Category:OWASP_Project">http://www.owasp.org/index.php/Category:OWASP_Project</a><br>
<br>
That is all for now - I wish you and your projects great success.  Thank
you for supporting OWASP's mission.<br>
<br>
Should you have any questions or require any further information, please do not
hesitate to contact me. <br>
<br>
Many thanks, best regards,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'>Paulo Coimbra,<o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><a
href="https://www.owasp.org/index.php/Main_Page">OWASP Project Manager</a><o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p>

<p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>

<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Dave Wichers
[mailto:dave.wichers@aspectsecurity.com] <br>
<b>Sent:</b> segunda-feira, 21 de Junho de 2010 22:19<br>
<b>To:</b> Kate Hartmann; Paulo Coimbra<br>
<b>Subject:</b> FW: **VL-JUNK** RE: Watcher idea<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<p class=MsoPlainText>Can the two of you facility the transition of these
projects to OWASP? Watcher is a cool tool. I'm not familiar with x5s, but the
more OWASP tools the merrier in my opinion.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>-Dave<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>-----Original Message-----<o:p></o:p></p>

<p class=MsoPlainText>From: Chris Weber [mailto:chris@casabasecurity.com] <o:p></o:p></p>

<p class=MsoPlainText>Sent: Monday, June 21, 2010 2:16 PM<o:p></o:p></p>

<p class=MsoPlainText>To: Dave Wichers<o:p></o:p></p>

<p class=MsoPlainText>Subject: RE: **VL-JUNK** RE: Watcher idea<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Hey Dave, how's this for a late follow up?  ;) 
What will it take to get Watcher and x5s moved to an OWASP project?  We're
getting a lot of good response from then, and could probably benefit from the
added community.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>-----Original Message-----<o:p></o:p></p>

<p class=MsoPlainText>From: Dave Wichers
[mailto:dave.wichers@aspectsecurity.com] <o:p></o:p></p>

<p class=MsoPlainText>Sent: Friday, November 20, 2009 3:53 PM<o:p></o:p></p>

<p class=MsoPlainText>To: Chris Weber; 'Dave Wichers'<o:p></o:p></p>

<p class=MsoPlainText>Cc: 'Samuel Bucholtz'<o:p></o:p></p>

<p class=MsoPlainText>Subject: **VL-JUNK** RE: Watcher idea<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Bummer that we missed each other!! <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Reagarding w3af, I have not used it, so I am not favoring
one over the other. I just wanted to let you know about the availability of
these two rulesets that you might be able to incorporate.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>On another note, what would you think about bringing Watcher
to OWASP?<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Dave <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>-----Original Message-----<o:p></o:p></p>

<p class=MsoPlainText>From: Chris Weber <chris@casabasecurity.com><o:p></o:p></p>

<p class=MsoPlainText>Sent: Friday, November 20, 2009 6:17 PM<o:p></o:p></p>

<p class=MsoPlainText>To: 'Dave Wichers'
<dave.wichers@aspectsecurity.com><o:p></o:p></p>

<p class=MsoPlainText>Cc: 'Samuel Bucholtz' <samuel@casabasec.com><o:p></o:p></p>

<p class=MsoPlainText>Subject: RE: Watcher idea<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Dave thanks for bringing this up.  I didn’t realize
until late in the week that we were both at the OWASP DC conference last week,
otherwise we could’ve met!  It looks like w3af is including passive
vulnerability assessment like Watcher does, I haven’t used this before have
you?  It looks neat.  <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>I assume we could do this as part of Watcher, maybe even
as a separate check library.  In some cases we do some of these
already.  FYI we’re looking into adding an active testing component to
Watcher, which would automate sending inputs for XSS and some of these
things.  <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>We’ll need to go through the w3af documentation and code
to figure out what it’s doing that we could include in Watcher.  Are you
suggesting this because you personally prefer to use something like Watcher
over w3af?  After glancing over the docs, usability does look much more
involved than Watcher.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Thanks for the message!<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Chris<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>From: Dave Wichers
[mailto:dave.wichers@aspectsecurity.com] <o:p></o:p></p>

<p class=MsoPlainText>Sent: Friday, November 20, 2009 2:55 PM<o:p></o:p></p>

<p class=MsoPlainText>To: Chris Weber<o:p></o:p></p>

<p class=MsoPlainText>Subject: Watcher idea<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Chris,<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>I had an idea with regard to Watcher based on the
following thread on the OWASP leaders list. If ModSecurity and W3AF have a set
of Regexs to help detect successful attacks, couldn’t Watcher ‘watch’ for this
same set of outputs? And then warn the analyst if it sees any of these? Maybe a
separate doc could even suggest to the tester the kinds of input/tests they
could perform that might help trigger the types of responses that these rules
can detect.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>-Dave<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>On Friday 20 November 2009 11:15:09 am Andrew Petukhov
wrote:<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Leaders,<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> does any one know, if there is a database of regular
expression for <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> testing HTTP responses while doing a pentest?<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Let me outline the problem (in a simplistic way):<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> - a black-box scanner can detect successful XSS by
noticing the code <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> it had injected in subsequent pages;<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> - a black-box scanner can detect SQLI blindly;<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> - other possible manifestations of an exploited
vulnerability are 5xx <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> codes and error mesages.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> I know only about ModSecurity Core Rule Set. It can
be used to detect <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> error messages.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Does anyone know other sources?<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Thanks in advance!<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Andrew Petukhov,<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>> Moscow State University<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Check out the GREP section of W3AF - <a
href="http://w3af.sourceforge.net/plugin-">http://w3af.sourceforge.net/plugin-</a><o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>descriptions.php#grep<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>You can use these same regexs to check the http response
for apps you are testing.<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>--<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>Ryan C. Barnett<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>WASC Distributed Open Proxy Honeypot Project Leader OWASP
ModSecurity Core Rule Set Project Leader Tactical Web Application Security <a
href="http://tacticalwebappsec.blogspot.com">http://tacticalwebappsec.blogspot.com</a><o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>_______________________________________________<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText>OWASP-Leaders mailing list<o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText><a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText> <o:p></o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

<p class=MsoPlainText><o:p> </o:p></p>

</div>

</div>

</div>

</div>

</body>

</html>