David,<br><br>To me this release reads like an advertisement for application firewalls, which is not to say that is necessarily a bad thing (it makes sense to take a close look at traffic bound to/from any sensitive web application). That said, there&#39;s lots of wiggle room an a definition like &#39;application layer firewall&#39; - a poorly configured app firewall is as useful as teats on a bull... it would be interesting to see this tightened up a bit over time if it&#39;s not already.<br>
<br>Sam<br><br><div class="gmail_quote">On Fri, Apr 18, 2008 at 11:18 AM, davidrook &lt;<a href="mailto:david.rook@realexpayments.com">david.rook@realexpayments.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I thought as Eoin stirred the hornets nest that is PCI DSS a few weeks<br>
ago I would post something on this subject as well.<br>
<br>
PCI point 6.6 has been causing a bit of confusion around what actually<br>
needs to be carried out by an organisation aiming to be PCI compliant.<br>
Requirement 6.6:<br>
<br>
Ensure that all web-facing applications are protected against known<br>
attacks by applying either of the following methods:<br>
 Having all custom application code reviewed for common vulnerabilities<br>
by an organization that specializes in application security<br>
 Installing an application layer firewall in front of web-facing<br>
applications.<br>
Note: This method is considered a best practice until June 30, 2008,<br>
after which it becomes a requirement.<br>
<br>
The code review point is where a lot of the confusion came from. In an<br>
attempt to clear the confusion up the PCI council have announced the<br>
following:<br>
<br>
The application code review option does not necessarily require a manual<br>
review of source code. Keeping in mind that the objective of Requirement<br>
6.6 is to prevent exploitation of common vulnerabilities (such as those<br>
listed in Requirement 6.5), several possible solutions may be<br>
considered. They are dynamic and pro-active, requiring the specific<br>
initiation of a manual or automated process. Properly implemented, one<br>
or more of these four alternatives could meet the intent of Option 1 and<br>
provide the minimum level of protection against common web application<br>
threats:<br>
<br>
1. Manual review of application source code<br>
2. Proper use of automated application source code analyzer (scanning) tools<br>
3. Manual web application security vulnerability assessment<br>
4. Proper use of automated web application security vulnerability<br>
assessment (scanning) tools<br>
<br>
But more interestingly Bob Russo (President of the PCI council) said:<br>
<br>
&quot;Personally, I&#39;d love to see everyone go through on OWASP-based<br>
source-code review, but certainly, that&#39;s not going to happen,&quot; Russo<br>
said, referring to the expensive and time-consuming process of manual<br>
code reviews." &quot;So the application firewall is probably the best thing<br>
to do, but there needs to be some clarification around what it needs to do."<br>
<br>
The point of this email is to see how you guys feel this could effect an<br>
organisations stance on Application Security? The PCI council seemed to<br>
be making a good step forward with requirement 6.6 but have they now<br>
diminished its effectiveness by stating you are better off not doing the<br>
source code review and just implementing an application firewall?<br>
<br>
--<br>
David Rook | <a href="mailto:david.rook@realexpayments.com">david.rook@realexpayments.com</a><br>
Information Security Analyst<br>
<br>
Realex Payments<br>
Enabling thousands of businesses to sell online.<br>
<br>
Realex Payments, Dublin, <a href="http://www.realexpayments.com" target="_blank">www.realexpayments.com</a><br>
Castlecourt, Monkstown Farm, Monkstown, Co Dublin, Ireland<br>
Tel: +353 (0)1 2808 559 Fax: +353 (0)1 2808 538<br>
<br>
Realex Payments, London, <a href="http://www.realexpayments.co.uk" target="_blank">www.realexpayments.co.uk</a><br>
1 Hammersmith Grove, London W6 0NB, England<br>
Tel: +44 (0)203 178 5370 Fax: +44 (0)207 691 7264<br>
<br>
Pay and Shop Limited, trading as Realex Payments has its registered office at Castlecourt, Monkstown Farm, Monkstown, Co Dublin, Ireland and is registered in Ireland, company number 324929.<br>
<br>
This mail and any documents attached are classified as confidential and<br>
are intended for use by the addressee(s) only unless otherwise<br>
indicated. If you are not an intended recipient of this email, you must<br>
not use, disclose, copy, distribute or retain this message or any part<br>
of it. If you have received this email in error, please notify us<br>
immediately and delete all copies of this email from your computer<br>
system(s).<br>
<font color="#888888">--<br>
<br>
_______________________________________________<br>
Owasp-ireland mailing list<br>
<a href="mailto:Owasp-ireland@lists.owasp.org">Owasp-ireland@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-ireland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-ireland</a><br>
</font></blockquote></div><br>