<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Short summary: We should not do this before the summit.</div><div><br></div><div>Full email:</div><div><br></div>There is an overwhelming response from OWASP against this idea - not because it isn't a good idea, but because of the many potential outcomes.&nbsp;<div><br></div><div>As someone very familiar with bug bounty programs, I'd like to throw out a few thoughts.<div><br></div><div>1. Bug bounty programs are great&nbsp;</div><div>2. You better know what you are getting into</div><div><br></div><div>With both of those items said, I strongly advise that we <u>do not</u> launch a HACK OWASP project until we have thoroughly discussed the issue, and especially not in a 2 week window right before the summit. &nbsp;Nothing should happen with lots of planning, consideration, virtual test servers, response resources, monitoring controls, available blocking and more. &nbsp;I have plenty more to share and would be happy to do so during appropriate planning calls. However, this should be given the time and planning it deserves. &nbsp;Attempting to launch a program in a matter of weeks will result in many bad outcomes.</div><div><br></div><div><br></div><div><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div><br class="Apple-interchange-newline">Michael Coates</div><div>OWASP</div><div><br></div></span><br class="Apple-interchange-newline">
</div>
<br><div><div>On Jan 26, 2011, at 12:41 AM, dinis cruz wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Loredana has taken the lead on this one and created the page <a href="http://www.owasp.org/index.php/Summit_2011/Competition/Hack_OWASP.ORG">http://www.owasp.org/index.php/Summit_2011/Competition/Hack_OWASP.ORG</a> with details about this competition (she will also be the main point of contact for this competition)<br>
<br>Before I submit this to the OWASP board for vote, can you please take a look and chip in with your ideas (for example I think that the scope should include offline MediaWiki exploits/vulns and the competition should also continue during the Summit (we are going to set up a 'hacking room' just like we did at the last Summit (we need to think about the prices for the vulns discovered during the Summit))<br clear="all">
<br>Dinis Cruz<br><br><br><div class="gmail_quote">On 21 January 2011 11:02, Loredana Mancini <span dir="ltr">&lt;<a href="mailto:loredana.mancini@business-e.it">loredana.mancini@business-e.it</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">












<div link="blue" vlink="blue" lang="IT">

<div><p class="MsoNormal"><font color="navy" face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial; color: navy;">Hi all,</span></font></p><div><font color="navy" face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial; color: navy;">&nbsp;</span></font><br class="webkit-block-placeholder"></div><p class="MsoNormal"><font color="navy" face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial; color: navy;" lang="EN-GB">I would like to pick up
this task, and step forward to organise it if you think it still interesting,
bye Loredana.</span></font></p>

<div><p style="margin-bottom: 12pt;"><font face="Times New Roman" size="2"><span style="font-size: 10pt;" lang="EN-GB"><br>
</span></font><font size="2"><span style="font-size: 10pt;">-----Messaggio
originale-----<br>
Da: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a><br>
[<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">mailto:owasp-leaders-bounces@lists.owasp.org</a>]
Per conto di dinis cruz<br>
Inviato: mercoledý 19 gennaio 2011 17.05<br>
A: Vlatko Kosturjak<br>
Cc: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>
Oggetto: Re: [Owasp-leaders] Javascript required for OWASP page?<br>
<br>
I think we should have a competion to see who can hack the <a href="http://owasp.org/" target="_blank">owasp.org</a><br>
website :)<br>
<br>
The price would be a fully paid (travel+accomodation) ticket to the<br>
Summit<br>
<br>
Extra kudos points would be given for gaining root on the <a href="http://owasp.org/" target="_blank">owasp.org</a><br>
server<br>
<br>
Anybody on this list have the cycles to organize this?<br>
<br>
Dinis Cruz<br>
<br>
On 19 Jan 2011, at 15:59, Vlatko Kosturjak &lt;<a href="mailto:kost@linux.hr" target="_blank">kost@linux.hr</a>&gt; wrote:<br>
<br>
&gt; On 01/19/2011 04:50 PM, dinis cruz wrote:<br>
&gt;&gt; It shows that <a href="http://owasp.org/" target="_blank">owasp.org</a> is in the same 'shape' as 90% of the websites<br>
&gt;&gt; out there.<br>
&gt;&gt;<br>
&gt;&gt; There is a O2 module that shows all the Javascript (files and inline)<br>
&gt;&gt; code that is loaded by an <a href="http://owasp.org/" target="_blank">owasp.org</a> page (it is quite a list)<br>
&gt;&gt;<br>
&gt;&gt; Maybe a good working session for the summit would be to consolidate<br>
&gt;&gt; all <a href="http://owasp.org/" target="_blank">owasp.org</a> javascripts and add CSP to it<br>
&gt;&gt;<br>
&gt;&gt; In fact we should have a 'hack <a href="http://owasp.org/" target="_blank">owasp.org</a> and mediawiki' competition<br>
&gt;&gt; at<br>
&gt;&gt; the Summit ....... :) :) :)<br>
&gt;<br>
&gt; Especially to find bugs like this (as mediawiki is in PHP):<br>
&gt; <a href="http://gregorkopf.de/slides_berlinsides_2010.pdf" target="_blank">http://gregorkopf.de/slides_berlinsides_2010.pdf</a><br>
&gt;<br>
&gt; Kost<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span></font></p>

</div>

</div>

</div>


</blockquote></div><br>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br></blockquote></div><br></div></div></body></html>