<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=utf-8">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
p.Img, li.Img, div.Img
        {mso-style-name:Img;
        margin:0in;
        margin-bottom:.0001pt;
        background:white;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.apple-style-span
        {mso-style-name:apple-style-span;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle22
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
 /* List Definitions */
 @list l0
        {mso-list-id:1381514112;
        mso-list-type:hybrid;
        mso-list-template-ids:-1206771840 67698689 67698691 67698693 67698689 67698691 67698693 67698689 67698691 67698693;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Symbol;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body bgcolor=white lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal>OWASP Leaders,<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>Attached is an internal release of the final OWASP Top 10
for 2010. We are providing this as a sneak preview for all of you and we are <u>asking
for your help</u>.<span style='color:#1F497D'> </span>Please do not release
this publically until Monday after the press release goes out (listed below).
Feel free to forward to press contacts and other writers.<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>As you can see in the press release, we are trying hard to
expand our audience beyond the security community to reach the people that
matter the most, the developers that are producing all the applications we are
so concerned about.<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>Please help us make sure every developer in the ENTIRE WORLD
knows about the OWASP Top 10 by helping to spread the world. Please blog,
tweet, e-mail, post, speak about, and forward the OWASP Top 10 to everyone who
you think needs to be aware of this, particularly developers. Discuss it at
your chapter meetings, offer to give talks about it at your local university,
etc. and please reuse my OWASP DC Conference presentation on the Top 10, which
I will update soon to reflect the final release.<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>As you help us spread the word, please emphasize:<o:p></o:p></p>

<p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span
style='font-family:Symbol'><span style='mso-list:Ignore'>·<span
style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span></span><![endif]>The
new Top 10 is about managing risk, not just avoiding vulnerabilities<o:p></o:p></p>

<p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span
style='font-family:Symbol'><span style='mso-list:Ignore'>·<span
style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span></span><![endif]>OWASP
is reaching out to developers, not just the application security community<o:p></o:p></p>

<p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span
style='font-family:Symbol'><span style='mso-list:Ignore'>·<span
style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span></span><![endif]>To
manage these risks, organizations need an application risk management program,
not just awareness training, app testing, and remediation<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>We need to encourage organizations to get off the penetrate
and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote:
“we’ll never hack our way secure – it’s going to take a culture change” for
organizations to properly address application security.<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>Thank you for your help.<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>Thanks, Dave<o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>p.s. I wanted to also take a moment to thank all of you for
your significant contributions to OWASP and the application security community.
Its all of you that make OWASP so great.<o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal>Dave Wichers<o:p></o:p></p>

<p class=MsoNormal>OWASP Board Member, OWASP Conferences Chair, and OWASP Top
10 Project Lead<o:p></o:p></p>

<div style='border:none;border-bottom:solid windowtext 1.0pt;padding:0in 0in 1.0pt 0in'>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=Img><img width=384 height=79 id="_x0000_i1030"
src="cid:image001.png@01CADD76.F3BDEBB0">&nbsp;<span lang=RU><o:p></o:p></span></p>

<p class=MsoNormal>&nbsp; <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:5.0pt;margin-right:0in;margin-bottom:
5.0pt;margin-left:0in'><span style='font-size:10.0pt'>FOR IMMEDIATE RELEASE:</span><o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:5.0pt;margin-right:0in;margin-bottom:
5.0pt;margin-left:0in'><o:p>&nbsp;</o:p></p>

<p class=MsoNormal align=center style='mso-margin-top-alt:5.0pt;margin-right:
0in;margin-bottom:5.0pt;margin-left:0in;text-align:center'><b><span
style='font-size:16.0pt'>OWASP TOP 10 FOR 2010 RELEASED<o:p></o:p></span></b></p>

<p class=MsoNormal align=center style='mso-margin-top-alt:5.0pt;margin-right:
0in;margin-bottom:5.0pt;margin-left:0in;text-align:center'><b><span
style='font-size:14.0pt'>Will You Help Us Reach Every Web Developer in the
World?<o:p></o:p></span></b></p>

<p class=MsoNormal style='mso-margin-top-alt:5.0pt;margin-right:0in;margin-bottom:
5.0pt;margin-left:0in'><b><span style='font-size:14.0pt'>&nbsp;</span></b><span
style='font-size:14.0pt'><o:p></o:p></span></p>

<p class=MsoNormal style='mso-margin-top-alt:5.0pt;margin-right:0in;margin-bottom:
5.0pt;margin-left:0in'><span style='font-size:10.0pt'>Columbia, MD</span> <span
style='font-size:10.0pt'>4/19/2010 —</span> <span lang=RU><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>Since 2003, application
security researchers and experts from all over the world at the Open Web
Application Security Project (OWASP) have carefully monitored the state of web
application security and produced an awareness document that is acknowledged
and relied on by organizations worldwide, including the PCI, DOD, FTC, and
countless others.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal style='margin-bottom:14.0pt'><span style='font-size:10.0pt'>Today,
OWASP has released an updated report capturing the top ten risks associated
with the use of web applications in an enterprise. This colorful 22 page report
is packed with examples and details that explain these risks to software
developers, managers, and anyone interested in the future of web security.
Everything at OWASP is free and open to everyone, and you can download the
latest OWASP Top 10 report for free at:<o:p></o:p></span></p>

<p class=MsoNormal align=center style='margin-bottom:14.0pt;text-align:center'><b><u><span
style='font-size:10.0pt;color:black'><a
href="http://www.owasp.org/index.php/Top_10"><span style='color:black'>http://www.owasp.org/index.php/Top_10</span></a>
</span></u><span style='color:black'><o:p></o:p></span></b></p>

<p class=MsoNormal><span style='font-size:10.0pt'>Dave Wichers, OWASP Board
member and COO of Aspect Security, has managed the project since its inception.
“This year we have revamped the Top 10 to make it clear that we are talking
about risks, not just vulnerabilities. Attempts to prioritize vulnerabilities
without context just don’t make sense. You can’t make proper business decisions
without understanding the threat and impact to your business.” This new focus
on risks is intended to lead organizations to more mature understanding and
management of application security across their organization.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>The time has come to get application
security awareness out of the security community and directly to the people who
need to know it most. This year, our audacious goal is to get the OWASP Top 10
into the hands of <b><u>every web developer in the world</u></b> – but we need
your help. &nbsp;We ask anyone reading this; would you be willing to do one
simple thing to help protect the future of the Internet?&nbsp; If you know
people who write code for the web, could you forward them the OWASP Top 10 and
ask them kindly…<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><span
style='font-size:10.0pt'>---------------------------------------------------<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><b><span
style='font-size:10.0pt'>Are you familiar with all of the risks in the OWASP
Top 10?<o:p></o:p></span></b></p>

<p class=MsoNormal align=center style='text-align:center'><b><span
style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></b></p>

<p class=MsoNormal align=center style='text-align:center'><b><span
style='font-size:10.0pt'>Will you make a commitment today to protect your code
against the OWASP Top 10?<o:p></o:p></span></b></p>

<p class=MsoNormal align=center style='text-align:center'><span
style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><span
style='font-size:10.0pt'>---------------------------------------------------<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>For too long, many
organizations have relied exclusively on an occasional scan or penetration test
to gain assurance for their internal and external web applications. This
approach is expensive and doesn't provide much in the way of coverage. Like
other types of security, application security requires a risk management
program that provides visibility across the entire portfolio and strategic
controls to improve security.&nbsp;If your organization is ready to tackle
application security, there are dozens of free books, tools, projects, forums,
mailing lists, and more at OWASP. You can also join one of over 180 local
chapters worldwide or attend our high quality and inexpensive AppSec
conferences.</span><o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal style='margin-bottom:14.0pt'><span style='font-size:10.0pt'>The
OWASP Top 10 for 2010 are:</span><o:p></o:p></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A1:
Injection</span></b> <span lang=RU><o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A2:
Cross-Site Scripting (XSS) <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A3:
Broken Authentication and Session Management <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A4:
Insecure Direct Object References <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A5:
Cross-Site Request Forgery (CSRF) <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A6:
Security Misconfiguration <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A7:
Insecure Cryptographic Storage <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A8:
Failure to Restrict URL Access <o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A9:
Insufficient Transport Layer Protection<o:p></o:p></span></b></p>

<p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt'>A10:&nbsp;Unvalidated
Redirects and Forwards <o:p></o:p></span></b></p>

<p class=MsoNormal><b><span style='font-size:10.0pt'>&nbsp;</span></b> <o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:14.0pt'><span style='font-size:10.0pt'>The
2010 update is based on more sources of web application vulnerability
information than the previous versions were when determining the new Top 10. It
also presents this information in a more concise, compelling, and consumable
manner, and includes strong references to the many new openly available
resources that can help address each issue, particularly OWASP's new </span><a
href="http://www.owasp.org/index.php/ESAPI"><span style='font-size:10.0pt'>Enterprise
Security API (ESAPI)</span></a><span style='font-size:10.0pt'> and </span><a
href="http://www.owasp.org/index.php/ASVS"><span style='font-size:10.0pt'>Application
Security Verification Standard (ASVS)</span></a><span style='font-size:10.0pt'>
projects.&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:14.0pt'><span style='font-size:10.0pt'>ABOUT
OWASP<o:p></o:p></span></p>

<p class=MsoNormal style='margin-bottom:14.0pt'><span style='font-size:10.0pt'>The
Open Web Application Security Project (OWASP) is a worldwide free and open
community focused on improving the security of application software. Our
mission is to make application security visible, so that people and
organizations can make informed decisions about true application security
risks. Everyone is free to participate in OWASP and <u>all of our materials</u>
are available under a free and open software license. The OWASP Foundation is a
501c3 not-for-profit charitable organization that ensures the ongoing
availability and support for our work from our members: </span><a
href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal"><span
style='font-size:10.0pt'>Individuals</span></a><span style='font-size:10.0pt'>,
</span><a
href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal"><span
style='font-size:10.0pt'>Organizational Supporters</span></a><span
style='font-size:10.0pt'> &amp; </span><a
href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal"><span
style='font-size:10.0pt'>Accredited University Supporters</span></a><span
style='font-size:10.0pt'>.</span><br>
<span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>&nbsp;</span> <span
lang=RU><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>Interviews: Jeff Williams –
OWASP Chair and Top 10 Project Founder (<a
href="mailto:jeff.williams@owasp.,org">jeff.williams@owasp.,org</a>)&nbsp;&nbsp;
<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>Interviews: Dave Wichers –
OWASP Board Member and Top 10 Project Lead (<a
href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>)&nbsp; <o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>Contact:&nbsp; Lorna Alamri –
Connections Committee (</span><a href="mailto:lorna.alamri@owasp.org"><span
style='font-size:10.0pt'>lorna.alamri@owasp.org</span></a>)<br>
<span style='font-size:10.0pt'>Company Name:&nbsp; Open Web Application
Security Project (OWASP)</span><br>
<span style='font-size:10.0pt'>Web site address:&nbsp;</span> <a
href="http://www.owasp.org"><span style='font-size:10.0pt'>http://www.owasp.org</span></a>
<span lang=RU><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:10.0pt'>&nbsp;</span> <o:p></o:p></p>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal align=center style='mso-margin-top-alt:5.0pt;margin-right:
0in;margin-bottom:5.0pt;margin-left:0in;text-align:center'><span
style='font-size:10.0pt'># # #<o:p></o:p></span></p>

</div>

<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

</div>

</blockquote>

</div>

</body>

</html>