Hi Johanna,<div>  Couldn't agree more. Simon and I have been discussing this both during the development of v4 of the Testing Guide and more recently.</div><div>It's something that we are very keen on and will be working together to better integrate the two products. </div>
<div><br></div><div>However we don't want the test guide to become a "ZAP how to guide", so we want to provide generic advice for how to use a proxy to find security issues as well as advice for specific tools. </div>
<div><br></div><div>It might end up being better to write a separate "testing with ZAP guide" to avoid the testing guide testing any bigger.</div><div><br></div><div>Mat and I will also be working with Simon to build a Testing Guide checklist for ZAP.</div>
<div><br></div><div>Exciting times! :)</div><div><br></div><div>Andrew<span></span></div><div><br>On Tuesday, 2 September 2014, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org">johanna.curiel@owasp.org</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Many commercial pen tools use the TOP ten as a reference to understand how you can test security vulnerabilities and how they match to the features in their product. I think that having this page helps to understand faster the ZAP features against testing security flaws.<div>

<br></div><div>The OWASP testing guide is a more detailed document at code level of the issue, but does anyone know how to implement the testing guide with ZAP?<br><div><br><div>Let me provide you an example:</div><div>SQL injections are known as a top vulnerability (reference to OWASP top 10). For a new ZAP user, testing against this is much easier explained if you tell them that they can use <i>'Active Scanner'</i> or <i>'Passive scanner</i>' to find SQL injections</div>

<div><br></div><div>Active scanner are automated tests (rules) and Passive are manual that you can create on your own.Active Scanner contains Scan policies with the tests (see image beneath).</div><div><br></div><div>So in the supposition we want to integrate testing guide with ZAP, the testing guide should provide a couple of "Passive rules" that I can Upload(new Scan Policy) to my set of tests in ZAP.</div>

<div><br></div><div>IMHO, If you mention the feature alone, it does not says much to the new user, by referencing it with a specific security flaw it makes it clear.</div><div><img src="cid:ii_148317f8323804fe" alt="Inline image 4" width="498" height="319"><br>

</div><div><br></div></div></div><div><img src="cid:ii_148317f564ea8aa6" alt="Inline image 3" width="498" height="319"><br></div><div><img src="cid:ii_14831800ce3c1c1b" alt="Inline image 5" width="498" height="319"><br></div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 1, 2014 at 6:58 AM, psiinon <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','psiinon@gmail.com');" target="_blank">psiinon@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><div><div><div>Stubbornness is 'de rigueur' for security professionals ;)<br><br></div>I certainly dont want to mislead people, and I realized this could be a slightly controversial page which is why I drew attention to it on the leaders list.<br>


<br></div>I'm very happy to add extra caveats at the top so that it is not misleading. At least on the web version - I want the printed version to stay within 2 sides, but we can always just include a "See the web version at... for caveats" type message.<br>


<br></div>Can you (or anyone else) suggest some suitable text to include?<br><br></div>Cheers,<br><br>Simon<br><div><br></div></div><div class="gmail_extra"><div><div><br><br><div class="gmail_quote">On Fri, Aug 29, 2014 at 6:17 PM, Dirk Wetter <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','dirk@owasp.org');" target="_blank">dirk@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Simon,<br>
<br>
looks better .<br>
<br>
Excuse my stubbornness ;-) but from my perspective it's still kind of<br>
misleading as the view (well, to be honest: my view) on testing is different.<br>
<br>
The OWASP Top 10 is still an awareness document. As opposed to the<br>
testing guide the OWASP Top 10 are not for testing neither with ZAP or<br>
Nessus (cough) or anything else. The OWASP Top 10 are also not complete<br>
as the underlying vulnerabilities are concerned. Just think about logic flaws,<br>
timing attacks, local/remote file inclusion, etc...<br>
<br>
It's also simplifying the view within the Top 10: In the world of awareness<br>
I understand that DOM XSS, reflected and persistent XSS as risks go into<br>
one category (well besides stored XSS, but that's off topic).<br>
>From a testers perspective I would definitely distinguish between those<br>
three.<br>
<br>
I would put that more into perspective, if now change the approach.<br>
<br>
<br>
Cheers,<br>
<br>
Dirk<br>
<br>
<br>
<br>
Am 08/29/2014 10:21 AM, schrieb psiinon:<br>
<div>> Dirk,<br>
><br>
> Its definitely ZAP specific, but its not meant to be marketing bumf.<br>
> Its a cheat sheet which helps people understand which ZAP components they should use for detecting vulnerabilities associated with each of the OWASP Top 10 risks.<br>
> Thats something I get asked quite a lot, so I think theres a need for this sort of doc.<br>
> It also states which of the components are automated and which are manual - I'm not trying to imply that ZAP can detect all of the vulnerabilities automatically.<br>
><br>
> I'm happy to add a statement to the effect that no black box scanner will find all issues - I always try to stress that ZAP is not a silver bullet.<br>
><br>
> Cheers,<br>
><br>
> Simon<br>
><br>
><br>
</div><div><div>> On Thu, Aug 28, 2014 at 8:16 PM, Dirk Wetter <<a href="javascript:_e(%7B%7D,'cvml','dirk@owasp.org');" target="_blank">dirk@owasp.org</a> <mailto:<a href="javascript:_e(%7B%7D,'cvml','dirk@owasp.org');" target="_blank">dirk@owasp.org</a>>> wrote:<br>


><br>
>     Hi Simon,<br>
><br>
>     Am 08/28/2014 01:21 PM, schrieb psiinon:<br>
>     > Leaders,<br>
>     ><br>
>     > I often get asked if ZAP scans for the "OWASP Top 10".<br>
>     > As I'm sure you're all aware, its not really possible to automatically scan for all of the vulnerabilities behind the OWASP Top 10 _risks_.<br>
>     ><br>
>     > But I still think its a question that should be answered, and so I've added this page to the OWASP wiki based on input from the ZAP contributors:<br>
>     ><br>
>     > <a href="https://www.owasp.org/index.php/ZAPpingTheTop10" target="_blank">https://www.owasp.org/index.php/ZAPpingTheTop10</a><br>
>     ><br>
>     > I just wanted to make sure that no one objects before I start publicizing it.<br>
><br>
>     my 2 bits... you basically answered the question yourself<br>
>     though ("As I'm sure you're all aware, its not really possible ...")<br>
><br>
>     You should be clear whether you want to marketing ZAP<br>
>     or whether you want to provide technical insights.<br>
><br>
>     For the latter everybody knows no scanner / tool<br>
>     also if used by a trained professional has nearly complete<br>
>     coverage from the blackbox perspective. It never will.<br>
><br>
>     And to cite others here -- OWASP Top 10 is an<br>
>     awareness document -- it's not complete and<br>
>     by using a scanner / tool you won't get security.<br>
>     This would be insinuated though.<br>
><br>
>     Bottom line: I would not recommend publishing it at<br>
>     all or at least not without modifications.<br>
>     The picture is too simple and misleading. If you really<br>
>     want to do it: Put some of the constraints I mentioned<br>
>     in the wiki, and add what ZAP can't do as of now.<br>
>     And then again have others to have a look.<br>
><br>
>     Cheers! Dirk<br>
><br>
><br>
><br>
>     _______________________________________________<br>
>     OWASP-Leaders mailing list<br>
</div></div>>     <a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a> <mailto:<a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a>><br>


>     <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
><br>
><br>
><br>
> --<br>
> OWASP ZAP <<a href="https://www.owasp.org/index.php/ZAP" target="_blank">https://www.owasp.org/index.php/ZAP</a>> Project leader<br>
<div>><br>
><br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
<br>
<br>
--<br>
</div>German OWASP Board, (Chair AppSec Research 2013)<br>
Send me encrypted mails (Key ID 0xB818C039)<br>
<div><div><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br><br clear="all"><br></div></div><div>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>
</div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br>-- <br><div dir="ltr"><div><div><div>____________________<br></div><b>Andrew Muller</b><br></div>Canberra OWASP Chapter Leader<br></div>OWASP Testing Guide Co-Leader<br></div><br>