<div dir="ltr"><div><div><div><div><div>Before I first released ZAP I did worry that it could do more harm than good.<br>I'm not so worried about that now.<br>Yes, people can, and will, use it for 'bad things'.<br>But I'm convinced that are many, many more using ZAP for good things.<br><br>I
 think positioning is very important - if we positioned/promoted ZAP as a
 l33t haxors tool designed to 'stick it to the man' then it would be 
more attractive to the bad guys and much less attractive to people who 
want to use it to make webapps more secure.<br><br>I agree OWASP is not 
so well balanced between defenders and attackers, but there are some very practical reasons for that.<br></div>ZAP, and other attack tools, are tools that anyone can use, regardless of the technology they use to create their webapps.<br></div>There are some defender tools (like WAFs) that can be used regardless of technology, but in most cases defender projects need to be technology specific.<br></div>The best Java defensive library in the world is useless to developers who use dotnet, python, nodejs, ruby etc etc.<br></div>And developers dont just choose technologies, they choose frameworks as well.<br></div>If your defensive library doesnt integrate seamlessly with the framework they are using then they wont use it.<br><div><div><div><div>So I think its actually far harder to develop defensive projects that will be adopted by a wide range of developers than it is to develop attack projects.<br><br></div><div>What can we do about that?<br></div><div>We could adopt a different approach, one that various people have suggested before on this list.<br></div><div>We could try to work with the frameworks that developers use to make them more secure.<br></div><div>I'm certainly not going to claim this will be easy, and I'm going to count myself out of any such initiative because I just dont have enough time to do justice do this :/<br></div><div>But I'll share a few thoughts anyway ;)<br></div><div>One option would be to form a 'project' ('hot team' whatever you want to call it) of people with enough time, enthusiasm and the relevant skills to approach this.<br></div><div>They could then evaluate various open source frameworks and determine which need the most help with security.<br></div><div>They would then need to approach those projects (in a respectful rather than confrontational manner) and see if any help would be well received or not - theres no point trying to help a project which just desnt care about security.<br></div><div>After that it would be a case of finding _and_fixing_ security issues in a manner that is accepted by the relevant projects.<br></div><div>Pick on one project, help it out, help the developers of that project gain a better understanding of security, move onto the next one.<br></div><div>Thoughts?<br></div><div><div><br>Cheers,<br><br>Simon</div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 20, 2016 at 3:57 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-size:13px">Hey Tony</span><div style="font-size:13px"><br></div><div style="font-size:13px">Respectfully, and that you understand, I'm more than a ZAP fan. I contribute/promote this project . Don't get me wrong, ZAP is my favourite tool and I just feel like they have used something I care for bad purposes, like thieves that steals your car to commit a bank robbery.</div><div style="font-size:13px"><br></div><div style="font-size:13px">I think we need to at least incentive(not only financially) and motivate more research into defending applications. Our defender projects help but they are far out cry to really make a difference.</div><div style="font-size:13px"><br></div><div style="font-size:13px">I would like to see more energy to promote this and I believe research and fostering this sphere can help create great things.</div><span class=""><div style="font-size:13px"><br></div><div style="font-size:13px">>>then sorry to break it to you that the Catalan police don't give a "PM" (spanish) or "F" about your F.</div><div style="font-size:13px"><br></div></span><div style="font-size:13px">Well the catalan police does care the hacker has leaked all private personal data of the police team, this is serious.</div><div style="font-size:13px"><a href="http://ccaa.elpais.com/ccaa/2016/05/18/catalunya/1463551156_428987.html" target="_blank">http://ccaa.elpais.com/ccaa/2016/05/18/catalunya/1463551156_428987.html</a><br></div><div>"<span style="color:rgb(68,68,68);font-family:'Benton Sans',sans-serif"> Además, SME está atendiendo a los policías perjudicados a través de sus delegados sindicales y del teléfono fijo del sindicato. Los </span><em style="margin:0px;padding:0px;border:0px;font-family:'Benton Sans',sans-serif;line-height:inherit;vertical-align:baseline;color:rgb(68,68,68)">mossos</em><span style="color:rgb(68,68,68);font-family:'Benton Sans',sans-serif"> temen el uso que se pueda hacer de sus datos privados en los círculos antipoliciales"</span></div><div style="font-size:13px"><br></div><div style="font-size:13px">PM? Puta Madre? Pura Mierda?  joder, a la policía si le importa un cono, tal vez no mi F pero saben que no pueden hacer nada...ni sobre ellos que están maldiciendo a Phineas...😂 sino el video todavía estuviera accesible en YouTube</div><div style="font-size:13px"><br></div><div style="font-size:13px">Ahi que <i>bonito</i> se ve este video en todo su esplendor mostrando como se usa OWASP ZAP hackeando a la policia catalana...</div><div style="font-size:13px"><br></div><div style="font-size:13px">I feel torn when the video opened and showed this...</div><div style="font-size:13px"><a href="https://drive.google.com/file/d/0B28S4R_cON7JMVNnNl9FbnQ4djg/view?usp=sharing" target="_blank">https://drive.google.com/file/d/0B28S4R_cON7JMVNnNl9FbnQ4djg/view?usp=sharing</a><br></div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div><div class="gmail_extra">
</div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>