<p>Hey,<br>
End of the day its about reviewing code which may implement somwe business logic and the approach one takes to performing such a review. The guide can not cover off all logic models but news to cover off how to review etc.<br>

Eoin</p>
<p><blockquote type="cite">On 22 Jul 2010 23:17, "Donovan, Frederick" <<a href="mailto:fdonovan@estee.com">fdonovan@estee.com</a>> wrote:<br><br>








<div bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Hey Jeff.  Perhaps my short response could have been broadened. Lot
of Blogic issues and examples that can be covered here for sure.  This is
definitely an important area.</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">You are right, wasn’t mentioning access control and yes business
logic is first understood by the business customer.  Developers I’ve worked
with are not generally in the position to understand the business nor do they have
much (if any) report with the customer – hence some of the issues.  Frankly, project
managers can be just as unreliable on this topic.  And although the business
customer would be fresh on the business needs, I would not expect them to
understand how their business rules can or are being broken.</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Understanding business logic flaws is much less about attacks (although
I’m sure one might argue that changing a step ID in a query string is breaking
business logic) and certainly not things a “scanner” would find.  Those implementing
it (b logic) first need to understand anticipated business requirements and yet
also need the ability to discern things that would not generally be anticipated
by the developers code,  developer or perhaps even expected by the business
customer.  (I liked you’re example)</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">I have developers who desire libraries and frameworks, business
customers who desire functionality and increased security, but I expect the AppSec
engineer to be able to see where the business logic can be bettered or smashed. 
</span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> Jeff Williams
[mailto:<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>] <br>
<b>Sent:</b> Thursday, July 22, 2010 4:28 PM<br>
<b>To:</b> Donovan, Frederick<br>
<b>Cc:</b> Eoin; OWASP Foundation Board List; <a href="mailto:Owasp-codereview@lists.owasp.org" target="_blank">Owasp-codereview@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-codereview] code review guide reboot (CRG V2.0)</span></p>

</div>

</div><p><font color="#500050"><br><br> <br><br> <br>><br>>  <br>><br>> I’d like to volunteer with the business logic code review – been putting it into wo...</font></p></div>

</div><p><font color="#500050"><br><br>THIS E-MAIL IS INTENDED ONLY FOR THE ADDRESSEE(S) AND MAY CONTAIN<br>CONFIDENTIAL INFORMATION.   IF Y...</font></p></blockquote></p>