<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Title content=""><meta name=Keywords content=""><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:MingLiU;
        panose-1:2 2 5 9 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Calibri;
        color:windowtext;}
span.msoIns
        {mso-style-type:export-only;
        mso-style-name:"";
        text-decoration:underline;
        color:teal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>I am with Tony on this issue.  My personal perspective is that the OWASP Top 10 is too reliant upon vulnerability prevalence and doesn’t have enough consideration for attack likelihood (mainly due to a lack of data).  <b><i>If a vuln falls in a forest and there is no attacker around to exploit it….</i></b>  The intersection of vuln prevalence and attack likelihood is the key for organizations to prioritize which vulns to fix first.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>Dave - I too remember the issues of trying to get data from various vendors the last Top 10 update </span><span style='font-size:11.0pt;font-family:Wingdings'>J</span><span style='font-size:11.0pt;font-family:Calibri'>  At the time, I was pushing for including web-based denial of service attacks and need data sets to justify it.  Dave – to your point about maybe doing this now, I have since joined one of those companies (Akamai’s Threat Research Team) and now have better leverage as I work on the team that creates our State of the Internet (SOTI) Security Report </span><span style='font-size:11.0pt;font-family:Wingdings'>J</span><span style='font-size:11.0pt;font-family:Calibri'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>Please consider a plan for including attack data into the next Top 10.  I will help any way I can.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>Cheers,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>Ryan<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'>    <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-family:Calibri;color:black'>From: </span></b><span style='font-family:Calibri;color:black'><owasp-leaders-bounces@lists.owasp.org> on behalf of Dave Wichers <dave.wichers@owasp.org><br><b>Date: </b>Saturday, May 21, 2016 at 7:32 PM<br><b>To: </b>Tony UV <tonyuv@owasp.org><br><b>Cc: </b>OWASP Leaders <owasp-leaders@lists.owasp.org><br><b>Subject: </b>Re: [Owasp-leaders] OWASP Top 2017 - Data Call<o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>While diversity is always a concern, I think the project is well known enough that diversity won't be a problem. If, after 45 days or so, we don't see the kind of diversity we're expecting, we might specifically reach out to sources in different communities to get the diversity we are looking for.<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>And to be clear, we are looking for vulnerability data, not attack data. At least with this data call. If people want to submit attack data that would be interesting as well, and that info could be used to help us calculate the likelihood of (successful) attack. But that's a different angle from the likelihood of having a vuln in the first place.  We actually discussed during the last top 10 update if there were any good sources of attack data, and we couldn't come up with any then. Maybe we can now?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>-Dave<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>On Sat, May 21, 2016 at 5:25 PM, Tony UV <<a href="mailto:tonyuv@owasp.org" target="_blank">tonyuv@owasp.org</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><div><p class=MsoNormal>Instead of an open call, how about the following.  Open calls for data places the level of involvement on the respondent/participant and if there isn't a diversity in involvement then the data and hence the project suffers. <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Let's map out who is seeing payloads in web requests and ping them for their data. Vendors in the following space may have logs related to malicious http requests. These vendors include makers of WAFs, Sec researchers managing honeypots, IPS manufacturers whose researchers author web based signatures, even makers of agent based defensive SW that also have signatures related to web based attacks.   These would be data points from infrastructure and makers of 'defender' type systems.  Next we could have another data set from those managing infrastructures in FI, banking, Federal, Higher Ed, Retail, info services, etc. getting logs from their SIEMs, can allow us to get logs from practioners.  If they are concerned about privacy, we can say that their participation can serve as a project sponsorship and comp them two tickets to regional APPSEC.  Also we can be transparent with the methodology on how we collect and use their data.  In reality privacy is really not a factor as most of the legit and malicious http payloads won't be carrying PII.  We can take both vendor product and Practioner data and through it up to SumoLogic free instance and run data analytics against all collected patterns. Sumo has the abilities to has the ability to hash values from any part of the web request so we can solicit that in case practioners offering Practioner data are worried about their collected web requests revealing any info to OWASP project volunteers. <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>I think that the OWASP Top Ten can finally get an industry support in the form of diversified data. I think the way to do this is to solicit requests and 'sell' participation.  Volunteers from the project and new recruits can have different tasks of recruiting practitioners, tech companies to support with data contributions or reviewing the data over a free SaaS based data analytics engine. If left as a call for data, versus project leaders or new volunteers from OWASP pursuing active data contributions, we may be looking at less diversified data points.  I would think this more aggressive model for data inclusion would actually help to make the project even more marketable.  <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>My 0.03.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Tony UV<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>Get <a href="https://aka.ms/o0ukef" target="_blank">Outlook for iOS</a><o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p></div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br><br><o:p></o:p></p><div><p class=MsoNormal style='margin-bottom:12.0pt'>On Sat, May 21, 2016 at 12:32 PM -0700, "Jonathan Carter" <<a href="mailto:jonathan.carter@owasp.org" target="_blank">jonathan.carter@owasp.org</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><div><p class=MsoNormal>In the mobile top 10, we had challenges around diversity of data sources. Is there a plan for who to try and pull in?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>On May 21, 2016, at 12:04 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>This is great stuff! Love the open call for data and publishing all the provided info. I imagine they'll be some very interesting data mining of submitted data in addition to the aggregate top 10 results. <o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>I spread the word on Twitter too <o:p></o:p></p></div><div><p class=MsoNormal><a href="https://twitter.com/_mwc/status/734091285787643904" target="_blank">https://twitter.com/_mwc/status/734091285787643904</a><o:p></o:p></p></div><div><p class=MsoNormal><br><br>On Friday, May 20, 2016, Dave Wichers <<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><p class=MsoNormal>Wouldn't you know it, a have a typo right in the title of my email :-). This is obviously a data call for the next update to the OWASP Top 10, which is expected to be released in 2017. Looking forward to your input.<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>-Dave<o:p></o:p></p></div></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>On Fri, May 20, 2016 at 10:31 PM, <dave.wichers@owasp.org> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><div><div><p class=MsoNormal>The OWASP Top 10 project is launching its effort to update the Top 10 again. The current version was released in 2013, and so this update is expected to be the 2016 or more likely 2017 release. This time around, we are making an open data call so anyone with application vulnerability statistics can contribute their data to the project. To make it easier for the project to consume this contributed data, we are requesting it be provided via this Google form.<o:p></o:p></p><p>DEADLINE: Data must be submitted by July 20, 2016.<o:p></o:p></p><p>As an OWASP project, we strive to make everything about every project as open as possible. For this release of the Top 10, we are going to publish all the contributed data so that anyone can review it to understand what input was considered to produce this update, and for other uses as well. We could imagine other groups/projects making use of this data for other reasons, so we believe publishing this data will have multiple benefits.<o:p></o:p></p><p>WARNING: You acknowledge that by contributing data to this update of the Top 10, that you authorize its publication. DO NOT CONTRIBUTE anything you don’t want to become public.<o:p></o:p></p><p>Guidance on what data we are looking for:<o:p></o:p></p><p>We are looking for web application vulnerability statistics collected by your organization:<br>• In web applications you assessed.<span style='font-family:MingLiU'><br></span>• During the years 2014, 2015, or both.<span style='font-family:MingLiU'><br></span>• These vulnerabilities can be in the code itself, the libraries the applications use, or in the configuration of the environment the applications run in.<o:p></o:p></p><p>We are NOT interested in OS, or network level vulnerabilities. We ARE interested in vulnerabilities in any SQL code running in any databases that back the applications being assessed and the database accounts used to run this code, but are generally NOT interested in security issues in the configuration of the database server itself.<o:p></o:p></p><p>Use your best judgment here to try to keep the data submitted relevant to the project. If you have a question or aren’t sure, just ask us for clarification.<o:p></o:p></p><p>There are 5 pages of questions, most of which are very short. The long one is page 4, which asks for all the vulnerability statistics. If you prefer, you can send your answers to the questions on page 4 via email to dave.wichers@owasp.org but please submit the rest of your input via this Google form.<o:p></o:p></p></div><p class=MsoNormal>I've invited you to fill out the form <b>OWASP Top 10 - 2016 Data Call</b>. To fill it out, visit: <br><a href="https://docs.google.com/forms/d/1sBMHN5nBicjr5xSo04xkdP5JlCnXFcKFCgEHjwPGuLw/viewform?c=0&w=1&usp=mail_form_link" target="_blank">https://docs.google.com/forms/d/1sBMHN5nBicjr5xSo04xkdP5JlCnXFcKFCgEHjwPGuLw/viewform?c=0&w=1&usp=mail_form_link</a> <o:p></o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>OWASP-Leaders mailing list<br>OWASP-Leaders@lists.owasp.org<br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></blockquote></div><p class=MsoNormal><br><br>-- <o:p></o:p></p><div><div><div><div><div><div><p class=MsoNormal><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><o:p></o:p></p></div><div><p class=MsoNormal>OWASP Global Board<o:p></o:p></p></div><div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p></div></div></div></div></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div></blockquote></div></blockquote></div></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>_______________________________________________ OWASP-Leaders mailing list OWASP-Leaders@lists.owasp.org https://lists.owasp.org/mailman/listinfo/owasp-leaders <o:p></o:p></p></div></body></html>