<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Good call Dave. Makes perfect sense now you say it, would it be an idea to include this explanation in the top 10 foreword ?<br><br>Eoin Keary<div>Owasp Global Board</div><div>+353 87 977 2988</div><div><br></div></div><div><br>On 24 Sep 2014, at 02:26, "Dave Wichers" <<a href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta name="Generator" content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.hoenzb
        {mso-style-name:hoenzb;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:343170977;
        mso-list-type:hybrid;
        mso-list-template-ids:-1585132566 67698705 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level2
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l1
        {mso-list-id:414324454;
        mso-list-type:hybrid;
        mso-list-template-ids:1089741534 67698689 67698691 67698693 67698689 67698691 67698693 67698689 67698691 67698693;}
@list l1:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Symbol;}
@list l1:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:"Courier New";}
@list l1:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Wingdings;}
@list l1:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Symbol;}
@list l1:level5
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:"Courier New";}
@list l1:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Wingdings;}
@list l1:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Symbol;}
@list l1:level8
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:"Courier New";}
@list l1:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Wingdings;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">We thought about this pretty hard when switching from Vulns to Risks in the title of the Top 10. Here were our thoughts:<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoListParagraph" style="text-indent:-.25in;mso-list:l1 level1 lfo2"><!--[if !supportLists]--><span style="font-size:11.0pt;font-family:Symbol;color:#1F497D"><span style="mso-list:Ignore">·<span style="font:7.0pt "Times New Roman"">         </span></span></span><!--[endif]--><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Switching to Risks we thought was important because organizations care about risks, not vulns. Just because a vuln is prevalent (like info leaks/error handling/system.out.printlns()/etc.) doesn’t mean it introduces a Top 10 level risk. So, organizing the Top 10 into the 10 largest risks helps to focus it on what’s most important.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoListParagraph" style="text-indent:-.25in;mso-list:l1 level1 lfo2"><!--[if !supportLists]--><span style="font-size:11.0pt;font-family:Symbol;color:#1F497D"><span style="mso-list:Ignore">·<span style="font:7.0pt "Times New Roman"">         </span></span></span><!--[endif]--><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">OK – given the new risk focus, we had a history of using vulnerability names in the earlier releases which were about Vulns. So we had a choice to make. Change all the names so they sound like Risks, or retain the names that people are used to, to avoid introducing unfamiliar terms that are confusing.<o:p></o:p></span></p><p class="MsoListParagraph"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoListParagraph" style="margin-left:1.0in;text-indent:-.25in;mso-list:l1 level2 lfo2"><!--[if !supportLists]--><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D"><span style="mso-list:Ignore">o<span style="font:7.0pt "Times New Roman"">   </span></span></span><!--[endif]--><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">And we decided to go with the use familiar terms approach, even though we knew that some of those terms aren’t technically risks, they are vulns, or weaknesses, or whatever.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">So, we readily admit that the Top 10 category names aren’t all exactly risks, particularly the very technical ones like Injection, XSS and CSRF, but those 3 terms in particular are very well known and replacing their names with a risk based description of those issues we felt would do more harm than good.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">For example, what if we called XSS something like what CWE-79 does: “Improper Neutralization of Input During Web Page Generation”.   That would confuse the hell out of most people, so we stuck with the familiar terms instead.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">So, a fair and reasonable topic to discuss. But this is our rationale as to why we did it this way and I still think it’s the right thing for the Top 10.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-Dave<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Dave Wichers<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">OWASP Top 10 Project Lead<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:owasp-community-bounces@lists.owasp.org">owasp-community-bounces@lists.owasp.org</a> [<a href="mailto:owasp-community-bounces@lists.owasp.org">mailto:owasp-community-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Neil Smithline<br><b>Sent:</b> Monday, September 22, 2014 1:35 PM<br><b>To:</b> Josh Sokol<br><b>Cc:</b> <a href="mailto:owasp-community@lists.owasp.org">owasp-community@lists.owasp.org</a>; <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br><b>Subject:</b> Re: [Owasp-community] [Owasp-leaders] OT10 Risks?<o:p></o:p></span></p><p class="MsoNormal"><o:p> </o:p></p><div><p class="MsoNormal">Some history...<o:p></o:p></p><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">The 2004 and 2007 T10s are titled "The Ten Most Critical Web Application Security <b>*Vulnerabilities*</b>". The 2010 and 2013 are "The Ten Most Critical Web Application Security <b>*Risks*</b>" This name change was a major topic of discussion while developing the 2010 T10. <o:p></o:p></p><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">My recollection, which admittedly is a bit fuzzy, is that the thought was that risks are what you train your staff to avoid. Improper defense against the risks leads to specific vulnerabilities and ultimately successful attacks. At the time of writing the 2010 T10, there was great debate about the meaning of vulnerabilities and risks. The problem wasn't that people didn't understand these terms. Quite the contrary, the problem was that nearly everyone had their own definitions of these terms. <o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">My suspicion is that the items in the 2013 T10 (I'm only interested in the newest T10) span terms such as risks, vulnerabilities, threats, attacks, etc... The definitions were unclear during the writing of the T10 and, based on this email thread, are still up for grabs. So we may never be able to categorize what is in the 2013 T10. During writing of the T10, we focused on our goal of making the T10 of utility to engineering organizations and didn't worry about having consensus about definitions.<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">Going forward....<o:p></o:p></p></div></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">I question whether we'll ever come up with consistent terms that we agree on. If we did come up with consistent terms, what would we do with them? Use them as a framework for future OWASP work? Other?<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div></div><div><p class="MsoNormal"><br clear="all"><o:p></o:p></p><div><div><p class="MsoNormal"><br>Neil Smithline<br>408-634-5764<br><a href="http://www.neilsmithline.com/" target="_blank">http://www.neilsmithline.com</a><o:p></o:p></p></div></div><p class="MsoNormal"><o:p> </o:p></p><div><p class="MsoNormal">On Mon, Sep 22, 2014 at 12:52 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<o:p></o:p></p><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">I'm not sure I interpret it the same way.  Depends really on your definition of a "system" (arguing topicality here Jim).  How about "an assemblage or combination of things or parts forming a complex or unitary whole".  By that definition a system could be a web application, a database like MySQL or Oracle, or an actual computer.  So, if a web application can be a system, then, by definition, SQL Injection can be a vulnerability in that system.  No?  And yes, it can also be an attack type.<o:p></o:p></p></div><p class="MsoNormal"><span class="hoenzb"><span style="color:#888888">~josh</span></span><o:p></o:p></p></div><div><div><div><p class="MsoNormal"><o:p> </o:p></p><div><p class="MsoNormal">On Mon, Sep 22, 2014 at 11:46 AM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<o:p></o:p></p><div><div><p class="MsoNormal">This is not true from Mitre's perspective. Per Mitre..:<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">SQL injection is an attack type. Only a system can be vulnerable. So a vulnerability per Mitre (per my reading) is an actual weakness in a actual system, hence...<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><div><p class="MsoNormal">CVE = actual issues in real systems and  (key letter V)<o:p></o:p></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt">CAPEC = abstract attack type definitions<o:p></o:p></p><div><p class="MsoNormal">--<o:p></o:p></p></div><div><p class="MsoNormal">Jim Manico<o:p></o:p></p></div><div><p class="MsoNormal">@Manicode<o:p></o:p></p></div><div><p class="MsoNormal"><a href="tel:%28808%29%20652-3805" target="_blank">(808) 652-3805</a><o:p></o:p></p></div></div><div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>On Sep 22, 2014, at 12:42 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<o:p></o:p></p></div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">If you want to get technical, XSS is a vulnerability.  Getting XSS'ed is exploitation of that vulnerability.  An example of a risk would be the compromise of customer data resulting from the exploitation of a XSS vulnerability.<o:p></o:p></p></div><div><p class="MsoNormal">If anyone is interested in learning more about Risk (and SimpleRisk), I'm teaching a 1-day class on it at LASCON this year.<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p></div><p class="MsoNormal">~josh<o:p></o:p></p></div><div><p class="MsoNormal"><o:p> </o:p></p><div><p class="MsoNormal">On Sun, Sep 21, 2014 at 4:13 PM, Eoin Keary <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<o:p></o:p></p><p class="MsoNormal" style="margin-bottom:12.0pt"><br>Xss is not a risk :)  Getting XSS'ed is if you are vulnerable.<br><br>It's a top 10 of most common vulns.<br>But if you actually did a top 10 (of common vulns)  the top 5 would be SSL and security header related and make for slow reading. :)<br><br><br>Eoin Keary<br>Owasp Global Board<br><a href="tel:%2B353%2087%20977%202988" target="_blank">+353 87 977 2988</a><br><br><o:p></o:p></p><div><div><p class="MsoNormal">On 21 Sep 2014, at 17:04, Eoin Keary <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<br><br>> Risk != vuln<br>><br>> Risk is defined as:<br>> "(Exposure to) the possibility of loss, injury, or other adverse or unwelcome circumstance; a chance or situation involving such a possibility."<br>><br>> The result of a weakness being leveraged and unwelcome outcomes.<br>><br>><br>><br>> Eoin Keary<br>> Owasp Global Board<br>> <a href="tel:%2B353%2087%20977%202988" target="_blank">+353 87 977 2988</a><br>><br>><br>> On 21 Sep 2014, at 16:53, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>><br>>>> T10 lists does not accurately<br>>> reflect the most dangerous "risks" or that it would be better to name it<br>>> differently?<br>>><br>>> The commentary that I received was that the term "risk" did not<br>>> actually reflect the items on the lists. Folks have told me it should<br>>> be "vulnerabilities" or "attacks" or "weaknesses" and more.<br>>><br>>> I'm not sure what the right answer is here...<br>>><br>>> Aloha,<br>>> --<br>>> Jim Manico<br>>> @Manicode<br>>> <a href="tel:%28808%29%20652-3805" target="_blank">(808) 652-3805</a><br>>><br>>>> On Sep 21, 2014, at 4:50 PM, Tobias <<a href="mailto:tobias.gondrom@owasp.org" target="_blank">tobias.gondrom@owasp.org</a>> wrote:<br>>>><br>>>> T10 lists does not accurately<br>>>> reflect the most dangerous "risks" or that it would be better to name it<br>>>> differently?<br>>> _______________________________________________<br>>> OWASP-Leaders mailing list<br>>> <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>> _______________________________________________<br>> Owasp-community mailing list<br>> <a href="mailto:Owasp-community@lists.owasp.org" target="_blank">Owasp-community@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-community" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-community</a><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div></div></div><p class="MsoNormal"><o:p> </o:p></p></div></div></blockquote><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><p class="MsoNormal">_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div></blockquote></div></div></div></div><p class="MsoNormal"><o:p> </o:p></p></div></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div><p class="MsoNormal"><o:p> </o:p></p></div></div></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-community mailing list</span><br><span><a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-community">https://lists.owasp.org/mailman/listinfo/owasp-community</a></span><br></div></blockquote></body></html>