<div dir="ltr">Definitely Bev :-)<div><br></div><div>In fact this is the kind of thing we should discuss.Should we start a formal process to bring this to a panel discussion? </div><div>I started developing a tool 'Nmapalyzer': <a href="https://github.com/ossecsoft/nmapalyzer">https://github.com/ossecsoft/nmapalyzer</a></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,'Segoe UI',Arial,freesans,sans-serif,'Apple Color Emoji','Segoe UI Emoji','Segoe UI Symbol'">Is a tool to identify the data packages sent by NMAP probes. </span><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,'Segoe UI',Arial,freesans,sans-serif,'Apple Color Emoji','Segoe UI Emoji','Segoe UI Symbol'">Reverse engineering of nmap TCP sent packages to a target machine</span></div><div><a href="https://www.gitbook.com/book/marylinh/nmapalyzer/details">https://www.gitbook.com/book/marylinh/nmapalyzer/details</a><br></div><div><br></div><div>So Bev, there are commercial solutions doing this and some OS but not extensively. My plan with the Nmapalyzer is to help detect network traffic(passive) and set  the information with a nice dashboard. It is in research phase right now.</div><div><br></div><div>>><span style="font-size:13px">But given that it IS open source, a hacker would simply fork it </span><span style="font-size:13px">on GitHub or BitBucket or wherever and just point fellow black hats at </span><span style="font-size:13px">the modified source at some other URL.</span></div><div><span style="font-size:13px"><br></span></div><div>Simply?😏 He do you have fellow blackhat friends that give you exploit kits for free?<span style="font-size:13px"><br></span></div><div> </div><div>blackhats don't give anything for free.Which blackhats are developing 'open source hacking tools' and giving tools for free like we do? No one, wether you pay 1 dollar or 300 for anything, they need to make a living.<br></div><div><span style="font-size:13px"><br></span></div><div>Have you check ZAP code? Maybe this part should not be at all documented . Believe me he will move to BURP or tamper data faster than just go and take the time to change this. and give it for free...</div><div><br></div><div>Now a professional blackhat will invest his time/money and distribute a version but it will charge some money for it, just as done with malware exploitation kits.</div><div><br></div><div>I bet you 100USD than the moment ZAP does this, download of this new version will decrease by 50% and  a blackhat will make a version for sale for a very good price in the dark web (charge USD20 instead of buying BURP for USD300/year)</div><div>Want to bet?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 22, 2016 at 6:20 PM, Bev Corwin <span dir="ltr"><<a href="mailto:bev.corwin@owasp.org" target="_blank">bev.corwin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Johanna,<div><br></div><div>I was thinking more about possible collaborations between interested OWASP Foundation projects and NIST Cloud Computing Forensic Science Working Group: <a href="http://www.nist.gov/itl/itl-cloud-computing-forensic-science.cfm" target="_blank">http://www.nist.gov/itl/itl-cloud-computing-forensic-science.cfm</a></div><div><br></div><div>Your questions about social responsibility when developing technologies that have potentials for misuse, or to be weaponized, and putting such concepts into "security by design-like" and/or "implementing security early in development life cycle-like" contexts, could provide interesting discussions for collaborative working group discussions, and/or panel discussions at future events, i.e.: AppSecUSA, and/or other conferences, for example.</div><div><br></div><div>Best wishes,</div><div>Bev</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Sat, May 21, 2016 at 10:51 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Bev made a question which triggered an idea<div><br></div><div>>><span style="font-size:13px">Why couldn't we think about implementing some types of OWASP forensic features into all of our code projects so that we could at least have some way to investigate if / when they are misused?</span></div><div><span style="font-size:13px"><br></span></div><div>Now, when she said that I though why ZAP does not implement a feature that already exists is SaaS products which REQUIRES that you set a file in the hosting application before in order to be able to pen test it? If the file is not found in the URL domain server hosting the application, you cannot attack it.</div><div><br></div><div>I don't want to advertise which commercial vendors do that but this is the way they avoid that a hackers go and misuse their services.</div><div><br></div><div>Building a module into ZAP that requires this file first to verify you own the web app and then attack will make it harder for hackers to just download and use ZAP for evil purpose</div><div><br></div><div>I know the project is open source and a hacker can go and modify the module but that will be more work for him and will refrain the lazy hackers or the ones without Java knowledge and resources, they will have better to move to another tool without this feature. </div><div><br></div><div>This way we are helping the white hats and not the black ones. Is not the final solution but I think in this way OWASP builds breakers attempting to also help Applications security.</div><span><font color="#888888"><div><br></div><div><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></font></span></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>