<div dir="ltr"><div>FWIW - this started OWASP and has not changed since 2006'</div><div><br></div><div><a href="https://www.owasp.org/index.php?title=OWASP:General_disclaimer">https://www.owasp.org/index.php?title=OWASP:General_disclaimer</a><br></div><div><br></div><div>You will notice it on each and every chapter, project and page at @owasp</div><div><br></div><div><br></div><div><br></div><div class="gmail_extra"><div class="gmail_quote">On Mon, May 23, 2016 at 3:31 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class=""><div style="font-size:13px">>>There is nothing stopping defenders from using "attacking" tools to secure their networks, servers, etc. After all we all port scan and vulnerability scan our infrastructure, right?</div><div><br></div></span><div>Hi Liam</div><div><br></div><div>I can see majority of the people answering are pen testers. I'm a developer that learn pen testing to so called 'secure' apps</div><div><br></div><div> It all depends on the technology and system.You find the holes but this per se does not fix them or even worse, makes you realise that if the developer knew how to code securely from the beginning a lot of headaches could have been avoided.</div><div><br></div><div>Recently I tested a .NET app build using 3.5 SP1 and no master pages or MVC(available in +4). The so called 'ViewState' did not help against CRSF . In fact the developer has to rebuild the whole thing using MVC +.NET 4.0.if he wants to protect this properly.</div><div><br></div><div>IS it feasible at this point? Nope. Will the company release the code even with the issue? Yep. </div><div><br></div><div>pen testing only helps find the wholes. Fixing them is another story.Hacking tools don't help you 'secure' applications. They only help you verify the security built by them.</div><div><br></div><div>Another anecdote. I used to work as RPG developer for a legacy AS/400 banking system. The whole things works with cgi (yikes!)</div><div>The pen tester found a CRSF attack. The architect said: prove it. Then the bug headache came: How to fix this?</div><div>Yes, it was a headache to fix and it did not happened immediately.In fact that architect 'hates' pen testers...😜</div><div><br></div><div>I think we should stop this discussion. </div><div><br></div><div>I think I'm starting a survey just to check how many of you work defending applications, I mean like <b><u>patching, fixing vulnerabilities in code</u></b>, so I might verify if I'm the only developer in OWASP trying to defend applications and that I'm alone among pen testers...</div><div><br></div><div>Then I'm definitely in the wrong community 😁</div><div><br></div><div><br></div><div>Cheers</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Johanna</div><div><br></div><div><br></div></font></span></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Mon, May 23, 2016 at 2:49 PM, Liam Smit <span dir="ltr"><<a href="mailto:liam.smit@gmail.com" target="_blank">liam.smit@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Simon<div><br></div><div>ZAP needs to be as effective as possible at finding vulnerabilities. Hobbling it by making it easier to detect makes it less effective. E.g. some vendor's firewall detects the scan and blocks it. When the actual exploit comes along it is not detected and the application is compromised.<br></div><div><br></div><div>The better it is at detecting vulnerabilities the better it can be used by defenders to plug the holes. There is nothing stopping defenders from using "attacking" tools to secure their networks, servers, etc. After all we all port scan and vulnerability scan our infrastructure, right?</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Liam</div></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span class="">-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font>