<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:x = 
"urn:schemas-microsoft-com:office:excel" xmlns:p = 
"urn:schemas-microsoft-com:office:powerpoint" xmlns:a = 
"urn:schemas-microsoft-com:office:access" xmlns:dt = 
"uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s = 
"uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs = 
"urn:schemas-microsoft-com:rowset" xmlns:z = "#RowsetSchema" xmlns:b = 
"urn:schemas-microsoft-com:office:publisher" xmlns:ss = 
"urn:schemas-microsoft-com:office:spreadsheet" xmlns:c = 
"urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc = 
"urn:schemas-microsoft-com:office:odc" xmlns:oa = 
"urn:schemas-microsoft-com:office:activation" xmlns:html = 
"http://www.w3.org/TR/REC-html40" xmlns:q = 
"http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc = 
"http://microsoft.com/officenet/conferencing" XMLNS:D = "DAV:" XMLNS:Repl = 
"http://schemas.microsoft.com/repl/" xmlns:mt = 
"http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2 = 
"http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda = 
"http://www.passport.com/NameSpace.xsd" xmlns:ois = 
"http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir = 
"http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds = 
"http://www.w3.org/2000/09/xmldsig#" xmlns:dsp = 
"http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc = 
"http://schemas.microsoft.com/data/udc" xmlns:xsd = 
"http://www.w3.org/2001/XMLSchema" xmlns:sub = 
"http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec = 
"http://www.w3.org/2001/04/xmlenc#" xmlns:sp = 
"http://schemas.microsoft.com/sharepoint/" xmlns:sps = 
"http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi = 
"http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs = 
"http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf = 
"http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p = 
"http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf = 
"http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss = 
"http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi = 
"http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi = 
"http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver = 
"http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m = 
"http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels = 
"http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp = 
"http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t = 
"http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m = 
"http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl = 
"http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl = 
"http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" 
XMLNS:Z = "urn:schemas-microsoft-com:" xmlns:st = ""><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18828">
<STYLE>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</STYLE>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US link=blue vLink=purple>
<DIV dir=ltr align=left><SPAN class=836590215-06012010><FONT 
face="Book Antiqua">(resend -- including dev guide group this time, let's keep 
all these projects in the loop)</FONT></SPAN></DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> Boberski, Michael [USA] <BR><B>Sent:</B> 
Wednesday, January 06, 2010 10:01 AM<BR><B>To:</B> 'Dave Wichers'; Brad Causey; 
owasp-testing@lists.owasp.org; owasp-topten@lists.owasp.org<BR><B>Cc:</B> 
'owasp-application-security-verification-standard@lists.owasp.org'<BR><B>Subject:</B> 
Common numbering scheme/convention (formerly "top 10 &amp; testing guide" 
thread)<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">Hi Brad. I'm game for figuring out a common identifier 
scheme/convention, ideally before the end of the month or so, which is the 
current ETA to putting out a call for contributors to work on the next rev of 
the dev guide, which as Dave mentioned will be reorganized according to 
ASVS.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">Maybe a first step is to take a look at this: <A 
href="http://code.google.com/p/owasp-development-guide/wiki/Introduction?tm=6">http://code.google.com/p/owasp-development-guide/wiki/Introduction?tm=6</A>&nbsp; 
</FONT></SPAN><SPAN class=272093514-06012010><FONT face="Book Antiqua">I just 
replaced the ASVS' "A#" with "D#" but kept the title.&nbsp; The "D#" is a 
Mike-ism/first cut at a dev guide numbering scheme, so 100% open to working with 
you on this, since obviously the thought crossed my mind something had to be 
figured out. We're also in the early stages of planning a next release of ASVS 
as Dave alludes to below as well, so now's a good time to talk about this, i.e. 
we could potentially also markup <A 
href="http://code.google.com/p/owasp-asvs/wiki/ASVS?tm=6">http://code.google.com/p/owasp-asvs/wiki/ASVS?tm=6</A>&nbsp; 
in a similar fashion.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">Based on your email below, I generally think we should have 
a major/minor kinda scheme that starts with ASVS and goes to 
whatever:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">OWASP-V[1-14]-[1-n,A,D,T,other]-[1-m,A,D,T,other]</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">i.e., as if one were expanding a tree control that when one 
got to a detailed verification requirement, would then have children nodes for 
e.g. development guide, testing guide, perhaps threats that the requirements map 
to like T10/CWE/WASC.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">Let me know your thoughts, the above is just a first 
proposal, I may not be understanding what you need. We can use the above dev 
guide wiki to flesh this out, see how much things make sense as we go, thing 
look different from email/paper to clickable trees/widgets.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=272093514-06012010><FONT 
face="Book Antiqua">Best,</FONT></SPAN></DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV><FONT face="Book Antiqua"></FONT>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> owasp-topten-bounces@lists.owasp.org 
[mailto:owasp-topten-bounces@lists.owasp.org] <B>On Behalf Of </B>Dave 
Wichers<BR><B>Sent:</B> Wednesday, January 06, 2010 12:34 AM<BR><B>To:</B> Brad 
Causey; owasp-testing@lists.owasp.org; 
owasp-topten@lists.owasp.org<BR><B>Cc:</B> 
mike.boberski@gmail.com<BR><B>Subject:</B> Re: [Owasp-topten] top 10 &amp; 
testing guide<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Brad,<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">OWASP 
is just starting a synchronization effort between the Top 10, ASVS, and all the 
Guides. We are trying to use the ASVS requirements as the baseline and then 
developing the dev guide and testing guide and code review against that 
outline.&nbsp; However, we don&#8217;t want to wreck what you guys have been doing 
with the testing guide #&#8217;s<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Mike 
Boberski is working with Andrew van der Stock to launch an update effort to the 
Dev Guide. Can you work with Mike so he understands how you are using the OWASP 
finding #&#8217;s to see if we can move forward in a way that is not massively 
disruptive? Mike may not even be aware of the testing guide numbering 
scheme.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">And 
we can also make sure that the dev guide covers everything you think needs to be 
covered (which hopefully already is covered in ASVS), and if not, maybe it needs 
to be updated too.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">-Dave<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p>&nbsp;</o:p></SPAN></P>
<DIV 
style="BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<P class=MsoNormal><B><SPAN 
style="FONT-FAMILY: 'Tahoma','sans-serif'; FONT-SIZE: 10pt">From:</SPAN></B><SPAN 
style="FONT-FAMILY: 'Tahoma','sans-serif'; FONT-SIZE: 10pt"> 
owasp-topten-bounces@lists.owasp.org 
[mailto:owasp-topten-bounces@lists.owasp.org] <B>On Behalf Of </B>Brad 
Causey<BR><B>Sent:</B> Tuesday, January 05, 2010 8:59 PM<BR><B>To:</B> 
owasp-testing@lists.owasp.org; owasp-topten@lists.owasp.org<BR><B>Subject:</B> 
[Owasp-topten] top 10 &amp; testing guide<o:p></o:p></SPAN></P></DIV>
<P class=MsoNormal><o:p>&nbsp;</o:p></P>
<P class=MsoNormal>First of all, sorry for the x-posting, but it seemed 
appropriate.<BR><BR>For those of you that don't know, I work in the financial 
sector and developed our organization's WAS testing procedures, documentation, 
and probably 80% of our whole WAS program from OWASP materials. Great 
stuff.<BR><BR>As matter of fact, each of our analysts has a LULU printed copy of 
the testing guide on their desks. When we write reports up, we use the 
OWASP-XX-XX as our classification mapping. For example:<BR><BR>Finding 1 - rXSS 
- OWASP-DV-001 - hxxp://<A 
href="http://www.vulnsite.com?msg=">www.vulnsite.com?msg=</A>&lt;blah blah, you 
get it&gt; - screenshot1.png<BR><BR>When we write our long form reports, we use 
the text from the testing guide. It has really proven great for us and we've 
been doing this since v2 came out. In addition, we have previously used the top 
ten literature as supplementary in proving higher risk, higher priority items. 
That has worked great until now.....<BR><BR>A8 on the RC version of the Top Ten 
throws a nice shiny wrench into it all. Reason being, there isn't a 
corresponding OWASP-xx-xx classification that matches up to A8. Now I've been 
writing A8 up for some time, but it never had a nice-neat home in any of the 
Testing guide classifications.<BR><BR>Now that I've gotten past all that. I'd 
like to maybe discuss how, possibly in the future, the two projects could be 
somewhat more in sync. I'm not sure there is a good way to do that today, but it 
sure makes sense in my mind that all owaspy stuff have some overlap, and should 
avoid gaps such as the A8 vs OWASP-XX-XX situation. <BR><BR>Also I see some gaps 
here:<BR><BR><A 
href="http://2.bp.blogspot.com/_JdybrokZBAk/S0Nt5DVYHWI/AAAAAAAABvU/HXQSzzoRJu0/s1600-h/WASC.png">http://2.bp.blogspot.com/_JdybrokZBAk/S0Nt5DVYHWI/AAAAAAAABvU/HXQSzzoRJu0/s1600-h/WASC.png</A><BR><BR>That 
aren't covered in any OWASP documentation, and should be. I'd like to get 
everyones' thoughts, and probably flames, on this stuff.<BR><BR><BR><BR 
clear=all>-Brad Causey<BR>CISSP, MCSE, C|EH, CIFI, CGSP<BR><BR><A 
href="http://www.owasp.org">http://www.owasp.org</A><BR>--<BR>Never 
underestimate the time, expense, and effort an opponent will expend to break a 
code. (Robert Morris)<BR>--<o:p></o:p></P></DIV></BODY></HTML>