<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:m = 
"http://schemas.microsoft.com/office/2004/12/omml"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.17092" name=GENERATOR>
<STYLE>@font-face {
        font-family: Cambria Math;
}
@font-face {
        font-family: Calibri;
}
@font-face {
        font-family: Tahoma;
}
@page WordSection1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman","serif"; mso-style-priority: 99; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto
}
P.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
LI.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
DIV.MsoAcetate {
        FONT-SIZE: 8pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text Char"
}
SPAN.BalloonTextChar {
        FONT-FAMILY: "Tahoma","sans-serif"; mso-style-priority: 99; mso-style-link: "Balloon Text"; mso-style-name: "Balloon Text Char"
}
SPAN.EmailStyle19 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal
}
SPAN.EmailStyle21 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal-reply
}
.MsoChpDefault {
        FONT-SIZE: 10pt; mso-style-type: export-only
}
DIV.WordSection1 {
        page: WordSection1
}
</STYLE>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV><SPAN class=726435615-17112010><FONT face=Arial color=#0000ff size=2>I 
think we need a project to sync those projects :)</FONT></SPAN></DIV>
<DIV><SPAN class=726435615-17112010><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=726435615-17112010><FONT face=Arial color=#0000ff size=2>You 
know, I see a lot of valuable ideas each on it's own direction. All pointing to 
better Web App Sec, but with different angles. Usually at corporate levels an 
strategy can be appointed to define a vision or common goal, why not creating 
one vision around vulnerabilities at OWASP, including management, reporting, 
classification, etc.?</FONT></SPAN></DIV>
<DIV><FONT face=Arial color=#0000ff size=2></FONT>&nbsp;</DIV>
<DIV><SPAN class=726435615-17112010><FONT face=Arial color=#0000ff 
size=2>Regards,</FONT></SPAN></DIV>
<DIV><SPAN class=726435615-17112010></SPAN><B><SPAN lang=es-mx><FONT face=Arial 
color=#003c81 size=2>Juan C Calderon</FONT></SPAN></B><BR></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Anurag 
Agarwal<BR><B>Sent:</B> Miércoles, 17 de Noviembre de 2010 08:33 
a.m.<BR><B>To:</B> owasp-leaders@lists.owasp.org<BR><B>Cc:</B> 'Turpin, Keith 
N'<BR><B>Subject:</B> Re: [Owasp-leaders] Common webapplication 
vulnerabilitynamingstandard<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=WordSection1>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Dave 
– OWASP common numbering scheme is separately aligned to all the guides but 
matteo, eoin and myself are meeting this Thursday 1pm EST to discuss and we will 
certainly take this as an action item.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Daniel 
– I would love for you to join us on skype tomorrow. You can get an idea about 
what we are doing and see if it is along the lines of what you are trying to do. 
We are getting the vulnerabilities from various sources including CWE, OWASP, 
WASC TC, OWASP TG, OWASP DG, OWASP CRG, etc.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Thanks<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Anurag<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<DIV>
<DIV 
style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; PADDING-LEFT: 0in; PADDING-BOTTOM: 0in; BORDER-LEFT: medium none; PADDING-TOP: 3pt; BORDER-BOTTOM: medium none">
<P class=MsoNormal><B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'">From:</SPAN></B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'"> 
owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Dave 
Wichers<BR><B>Sent:</B> Wednesday, November 17, 2010 9:05 AM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Cc:</B> Turpin, Keith N<BR><B>Subject:</B> 
Re: [Owasp-leaders] Common web application 
vulnerabilitynamingstandard<o:p></o:p></SPAN></P></DIV></DIV>
<P class=MsoNormal><o:p>&nbsp;</o:p></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Related 
to that. Are you guys planning on using or updating the initial start at this 
that Mike B. developed at: <A 
href="http://www.owasp.org/index.php/Common_OWASP_Numbering">http://www.owasp.org/index.php/Common_OWASP_Numbering</A>??<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">I 
was hoping that this page would ultimately contain this common numbering scheme 
across all the guides and it would be based on ASVS actually. And now there is 
the new OWASP Secure Coding Practices Quick Reference Guide from Keith Turpin of 
Boeing where he has been trying to align ASVS and his guide, and he and I were 
hoping that ‘this’ alignment between the two could serve as the cross reference 
list for the three guides since Keith’s list is more complete than the 
ASVS.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Can 
I ask that the 3 of you coordinate with him on this??<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Thanks, 
Dave<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>
<P class=MsoNormal><B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'">From:</SPAN></B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'"> 
owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of 
</B>Eoin<BR><B>Sent:</B> Wednesday, November 17, 2010 8:55 AM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Cc:</B> Steven M. 
Christey<BR><B>Subject:</B> Re: [Owasp-leaders] Common web application 
vulnerabilitynamingstandard<o:p></o:p></SPAN></P>
<P class=MsoNormal><o:p>&nbsp;</o:p></P>
<DIV>
<P class=MsoNormal>There is an OWASP project Matteo, Anurag and myself are 
working on: "The OWASP common vulnerability list" which an attempt to 
consolidate the TG, Dev and CRG lists with WASC, SANS, CWE 
etc<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal><BR><BR>&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal>On 17 November 2010 13:48, Dave Wichers &lt;<A 
href="mailto:dave.wichers@aspectsecurity.com">dave.wichers@aspectsecurity.com</A>&gt; 
wrote:<o:p></o:p></P>
<DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">Check out MITRE’s CWE (Common Weakness 
Enumeration) (<A href="http://cwe.mitre.org/" 
target=_blank>http://cwe.mitre.org/</A>). That’s much more detailed but not web 
focused. It ‘may’ have stuff you can use/extract, or maybe you could work with 
them to get CWE to provide what you want without creating yet another 
taxonomy.</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">I have cc’d Steve Christey who is 
heavily involved in that project at MITRE.</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">I also wonder how this list of 
‘vulnerabilities’ would correlate to the ‘requirements’ listed in the OWASP 
ASVS? I wonder if OWASP could use that as a guide for such a 
taxonomy.</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">-Dave</SPAN><o:p></o:p></P>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><B><SPAN 
style="FONT-SIZE: 10pt">From:</SPAN></B><SPAN style="FONT-SIZE: 10pt"> <A 
href="mailto:owasp-leaders-bounces@lists.owasp.org" 
target=_blank>owasp-leaders-bounces@lists.owasp.org</A> [mailto:<A 
href="mailto:owasp-leaders-bounces@lists.owasp.org" 
target=_blank>owasp-leaders-bounces@lists.owasp.org</A>] <B>On Behalf Of 
</B>daniel cuthbert<BR><B>Sent:</B> Wednesday, November 17, 2010 5:45 
AM<BR><B>To:</B> <A href="mailto:owasp-leaders@lists.owasp.org" 
target=_blank>owasp-leaders@lists.owasp.org</A><BR><B>Subject:</B> Re: 
[Owasp-leaders] Common web application vulnerability 
namingstandard</SPAN><o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">Yes and no. Whilst 
the WASC Threat Classification is indeed a step in the right direction, it's 
still incredibly high-level.&nbsp;<o:p></o:p></P>
<DIV>
<DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">Take WASC-01: 
Insufficient Authentication.<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">Now this is great, 
it gives the viewer a better understanding of the initial high-level issue with 
authentication but falls short of explaining the vulns normally found such 
as:<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">- user enumeration 
via the authentication mechanism<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">- information 
leakage via the forgotten password function<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">- DoS attacks 
aimed at account lockout procedure<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;and so 
on.<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">I guess what I 
want doesn't currently exist in the public domain. I know many have a private 
one, so this seems like a great time to start said 
project.&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal 
style="MARGIN-BOTTOM: 12pt; mso-margin-top-alt: auto">&nbsp;<o:p></o:p></P>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">On 17 November 
2010 12:29, Stephen de Vries &lt;<A href="mailto:stephen@twisteddelight.org" 
target=_blank>stephen@twisteddelight.org</A>&gt; wrote:<o:p></o:p></P>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><BR>WASC Threat 
Classification?<BR><BR><A 
href="http://projects.webappsec.org/w/page/13246978/Threat-Classification" 
target=_blank>http://projects.webappsec.org/w/page/13246978/Threat-Classification</A><o:p></o:p></P>
<DIV>
<DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto"><BR>On Nov 17, 
2010, at 10:04 AM, daniel cuthbert wrote:<BR><BR>&gt; hey 
Leaders,<BR>&gt;<BR>&gt; I'm busy with potentially a new project for OWASP that 
tries to create a standard set of web app vulnerability names to be used during 
the reporting phase. In most cases, we all find the same issues but differ when 
it comes to the approach taken when reporting them. I feel that this sometimes 
has the ability to confuse clients, especially those using multiple vendors to 
perform assessments.<BR>&gt;<BR>&gt; With this in mind, can anyone share links 
of common web application vulnerability lists they know of? I'm trying to build 
up as many sources before I try and build up an OWASP document.<BR>&gt;<BR>&gt; 
Merce,<BR>&gt;<BR>&gt; Daniel<o:p></o:p></P></DIV></DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&gt; 
_______________________________________________<BR>&gt; OWASP-Leaders mailing 
list<BR>&gt; <A href="mailto:OWASP-Leaders@lists.owasp.org" 
target=_blank>OWASP-Leaders@lists.owasp.org</A><BR>&gt; <A 
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" 
target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><BR><BR>_______________________________________________<BR>OWASP-Leaders 
mailing list<BR><A href="mailto:OWASP-Leaders@lists.owasp.org" 
target=_blank>OWASP-Leaders@lists.owasp.org</A><BR><A 
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" 
target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><o:p></o:p></P></DIV>
<P class=MsoNormal 
style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto">&nbsp;<o:p></o:p></P></DIV></DIV></DIV></DIV></DIV>
<P class=MsoNormal 
style="MARGIN-BOTTOM: 12pt"><BR>_______________________________________________<BR>OWASP-Leaders 
mailing list<BR><A 
href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</A><BR><A 
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" 
target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><o:p></o:p></P></DIV>
<P class=MsoNormal><BR><BR clear=all><BR>-- <BR>Eoin Keary<BR>OWASP Global Board 
Member<BR>OWASP Code Review Guide Lead Author<BR><BR>Sent from my 
i-Transmogrifier<BR><A href="http://asg.ie/">http://asg.ie/</A><BR><A 
href="https://twitter.com/EoinKeary">https://twitter.com/EoinKeary</A><o:p></o:p></P>
<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">No virus 
found in this incoming message.<BR>Checked by AVG - www.avg.com<BR>Version: 
9.0.869 / Virus Database: 271.1.1/3260 - Release Date: 11/16/10 
02:34:00</SPAN><o:p></o:p></P></DIV></BODY></HTML>