Touché, LaFleur... :)<div><br><div class="gmail_quote">On Wed, Jan 12, 2011 at 9:44 AM, Jim Manico <span dir="ltr">&lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div lang="EN-US" link="blue" vlink="purple"><div><div class="im"><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">&gt; </span> (And the sooner the better, because the first OWASPer to use it might be the first to &quot;test&quot; it informally.)</p>

<p class="MsoNormal"> </p></div><p class="MsoNormal">Now as an OWASP’er, we would never test the security posture of a web application (formally or informally) without written permission first, correct? </p><p class="MsoNormal">

 </p><p class="MsoNormal">- Jim<span style="font-size:11.0pt;color:#1F497D"></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Matthew Chalmers<br>

<b>Sent:</b> Wednesday, January 12, 2011 9:12 PM</span></p><div><div></div><div class="h5"><br><b>To:</b> <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br><b>Subject:</b> Re: [Owasp-leaders] Summit Regonline</div>

</div><p></p></div><div><div></div><div class="h5"><p class="MsoNormal"> </p><p class="MsoNormal">My concern is not them requiring CVV2, or doing billing address/phone verification, or anything else, because I know that my personal liability for fraud on my card is $0. Other people may not be in the same boat. The vendor doing these things doesn&#39;t make OWASPers&#39; information more secure, it just helps keep them protected from fraud liability and hassle.</p>

<div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">My concern IS that as a security organization we&#39;re contracting third parties without checking their security. It&#39;s embarrassing that this vendor has an SQLI vulnerability, even if it could be demonstrated that the full extent of it is simply disclosure of quasi-public information (not the ability to change data, insert data, or reveal private info such as a credit card number). Even without the SQLI, the links in the confirmation email should probably not work for anyone but the person who got it.</p>

</div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">I understand that in this case (and perhaps other cases) it may have been (or will be) necessary to get the solution running quickly, but OWASP should consider adopting a &quot;policy&quot; of not giving any vendor confidential data or money, or sign a contract for their services, until we have either tested/audited them and/or included a provision in the agreement that we can do so whenever we like. (And the sooner the better, because the first OWASPer to use it might be the first to &quot;test&quot; it informally.)</p>

</div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Matt</p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"> </p><div><p class="MsoNormal">On Wed, Jan 12, 2011 at 8:49 AM, Kate Hartmann &lt;<a href="mailto:kate.hartmann@owasp.org" target="_blank">kate.hartmann@owasp.org</a>&gt; wrote:</p>

<p class="MsoNormal">Group, the CVV is now required for all Credit card purchases through Reg<br>Online.<br><br>As you know, we have been using a different system for memberships and<br>registrations until this point, and that system did not require the security<br>

code, so I mirrored the settings we had been using for the past 4 years when<br>setting up the new system.<br><br>Please, if you have concerns, please don&#39;t assume it&#39;s a security flaw.  Ask<br>first.  As in this case, it could be an issue of a back door setting.<br>

<br>Development is working on the other issue reported last week.  Resolution<br>will be swift.<br><span style="color:#888888"><br>Kate Hartmann<br>Operations Director<br>301-275-9403<br><a href="http://www.owasp.org" target="_blank">www.owasp.org</a><br>

Skype:  Kate.hartmann1</span></p><div><p class="MsoNormal"><br>-----Original Message-----<br>From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a></p></div>

<div><div><p class="MsoNormal">[mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] On Behalf Of Matt Tesauro<br>Sent: Wednesday, January 12, 2011 9:36 AM<br>

To: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>Subject: Re: [Owasp-leaders] Summit Regonline<br><br>For what its worth...<br><br>When I did an organizational membership through RegOnline last week, I used<br>

a Amex and was asked for the CVV.<br><br>I don&#39;t know what CC you used or your total, but I can tell you that for<br>Organizational Supporters ($5,000 USD), they required CVV for Amex (and<br>apparently all cards as it was part of the html form).<br>

<br>Give Kate some time to work with RegOnline and lets see what happens on this<br>and other issues.  My understanding from talking with Kate multiple times is<br>that they have been open and eager when working with us in the past.  Lets<br>

get a response from them before we take them to task.<br><br>Also remember that getting the Summit setup is taking 99% of much of OWASP&#39;s<br>volunteer and employees time and that won&#39;t change until after its done.<br>

<br>Cheers!<br><br>--<br>-- Matt Tesauro<br>OWASP Board Member<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>

<a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<br><br>On 01/12/2011 02:04 AM, Ofer Maor wrote:<br>&gt; I think that at the &quot;moment&quot; of buying you are right - sure, if I<br>

&gt; don&#39;t give my CVV, it won&#39;t be compromised.<br>&gt;<br>&gt;<br>&gt;<br>&gt; The cold and rough feeling I get is from the concept. A site that does<br>&gt; not require a CVV is a site that makes it easier to use stolen cards<br>

&gt; (the likelihood of stealing card information without CVV is higher,<br>&gt; due to the better security placed on CVVs).<br>&gt;<br>&gt;<br>&gt;<br>&gt; Hence, I always flinch when sites don&#39;t ask for CVV, especially when<br>

&gt; those are sites that allow for purchases of hundreds or thousands of<br>&gt; dollars.<br>&gt;<br>&gt;<br>&gt;<br>&gt; (Btw - in the US, u have another security mechanism which is not<br>&gt; enabled worldwide - which is billing address confirmation. This is<br>

&gt; especially useful when purchasing online goods to be shipped to you,<br>&gt; as in such case the potential abuse of cards is very low. However, for<br>&gt; non US issued cards, this is not verified as in the US, and, even if<br>

&gt; so, this was purchased for something that is not shipped, so the value is<br>low).<br>&gt;<br>&gt;<br>&gt;<br>&gt; Just my .02<br>&gt;<br>&gt;<br>&gt;<br>&gt; Ofer.<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>

&gt;<br>&gt;<br>&gt;<br>&gt; *From:*<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a><br>&gt; [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>] *On Behalf Of *Jason Li<br>

&gt; *Sent:* Wednesday, January 12, 2011 6:59<br>&gt; *To:* <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>&gt; *Subject:* Re: [Owasp-leaders] Summit Regonline<br>&gt;<br>

&gt;<br>&gt;<br>&gt; Agreed - but it&#39;s the *existence* of the CVV2 in general that provides<br>&gt; the warm and fuzzy.<br>&gt;<br>&gt;<br>&gt;<br>&gt; The fact that a merchant does not ask for the CVV2 doesn&#39;t make a<br>

&gt; difference from the cloning perspective, right?<br>&gt;<br>&gt;<br>&gt;<br>&gt; In fact, I think you could argue that if a merchant does *not* ask for<br>&gt; CVV2, a user is in fact better off from a personal security perspective.<br>

&gt;<br>&gt;<br>&gt;<br>&gt; -Jason<br>&gt;<br>&gt; On Tue, Jan 11, 2011 at 11:33 PM, Matthew Chalmers<br>&gt; &lt;<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a> &lt;mailto:<a href="mailto:matthew.chalmers@owasp.org" target="_blank">matthew.chalmers@owasp.org</a>&gt;&gt; wrote:<br>

&gt;<br>&gt; It makes users feel warm and fuzzy because it&#39;s less likely that their<br>&gt; card can be used if cloned from the stripe only. :)<br>&gt;<br>&gt;<br>&gt;<br>&gt; On Tue, Jan 11, 2011 at 10:26 PM, Jason Li &lt;<a href="http://jason.li" target="_blank">jason.li</a><br>

&gt; &lt;<a href="http://jason.li" target="_blank">http://jason.li</a>&gt;@<a href="http://owasp.org" target="_blank">owasp.org</a> &lt;<a href="http://owasp.org" target="_blank">http://owasp.org</a>&gt;&gt; wrote:<br>&gt;<br>

&gt; The CVV2 code is not technically required to make a credit card<br>&gt; payment in the US (some European countries do require it).<br>&gt;<br>&gt;<br>&gt;<br>&gt; From a *user* security perspective, I don&#39;t think there&#39;s a<br>

&gt; significant impact for *not* providing a CVV2 code...<br>&gt;<br>&gt;<br>&gt;<br>&gt; But I&#39;m sure someone will point it out if I&#39;m wrong :)<br>&gt;<br>&gt;<br>&gt;<br>&gt; -Jason<br>&gt;<br>&gt;<br>&gt;<br>
&gt; On Tue, Jan 11, 2011 at 6:28 PM, Ofer Maor &lt;<a href="mailto:ofer.maor@owasp.org" target="_blank">ofer.maor@owasp.org</a><br>
&gt; &lt;mailto:<a href="mailto:ofer.maor@owasp.org" target="_blank">ofer.maor@owasp.org</a>&gt;&gt; wrote:<br>&gt;<br>&gt;     Am I the only one who feels uncomfortable that the regonline site<br>&gt;     did not ask for my CVV when taking my credit card for the booking?<br>

&gt;<br>&gt;     * *<br>&gt;<br>&gt;     *---*<br>&gt;<br>&gt;     *Ofer Maor*<br>&gt;<br>&gt;     *CTO, Hacktics*<br>&gt;<br>&gt;     *Chairman, OWASP Israel*<br>&gt;<br>&gt;<br>&gt;<br>&gt;     Mobile: +972 (54) 6545406<br>

&gt;<br>&gt;     US: +1 (646) 7700646<br>&gt;<br>&gt;     Office: +972 (9) 9565840<br>&gt;<br>&gt;     Fax: +972 (9) 9500047<br>&gt;<br>&gt;     LinkedIn: <a href="http://www.linkedin.com/in/ofermaor" target="_blank">http://www.linkedin.com/in/ofermaor</a><br>

&gt;<br>&gt;     Web: <a href="http://www.hacktics.com" target="_blank">www.hacktics.com</a> &lt;<a href="http://www.hacktics.com/" target="_blank">http://www.hacktics.com/</a>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>

&gt;<br>&gt;<br>&gt;     _______________________________________________<br>&gt;     OWASP-Leaders mailing list<br>&gt;     <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a> &lt;mailto:<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>&gt;<br>

&gt;     <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; _______________________________________________<br>

&gt; OWASP-Leaders mailing list<br>&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a> &lt;mailto:<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>&gt;<br>

&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; _______________________________________________<br>

&gt; OWASP-Leaders mailing list<br>&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a> &lt;mailto:<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a>&gt;<br>

&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; _______________________________________________<br>

&gt; OWASP-Leaders mailing list<br>&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>

<br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>

<br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></p>

</div></div></div><p class="MsoNormal"> </p></div></div></div></div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>