<div dir="ltr"><div style="font-size:13px">For those who have not seen the video and read Phineas hacking instructions,  highly recommended</div><div style="font-size:13px"><br></div><div style="font-size:13px"><a href="https://tune.pk/video/6528544/hack" target="_blank">https://tune.pk/video/6528544/hack</a><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 24, 2016 at 7:43 PM, Gregory Disney <span dir="ltr"><<a href="mailto:gregory.disney@owasp.org" target="_blank">gregory.disney@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">This is just silly, <span></span> Black hats happen, accept its part of the ecosystem and move on.<div class="HOEnZb"><div class="h5"><br><br>On Tuesday, May 24, 2016, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-size:13px">>>I just don't worry about such things. </span><br><div><span style="font-size:13px"><br></span></div><div><div style="max-width:812px;margin:0px;padding:0px;border:0px;font-family:arial;font-size:17px;font-weight:bold;line-height:inherit;vertical-align:baseline;color:rgb(0,51,102);background-color:transparent"><a href="http://www.wisdomquotes.com/quote/edmund-burke-1.html" rel="bookmark" style="color:rgb(0,51,102);max-width:812px;margin:0px;padding:0px;border:0px;font-family:inherit;font-size:inherit;font-style:inherit;font-weight:inherit;line-height:inherit;vertical-align:baseline;text-decoration:none;outline:0px;background-color:transparent" target="_blank">All that is necessary for evil to succeed is that good men do nothing.</a></div><div style="max-width:812px;margin:0px;padding:0px;border:0px;font-family:arial;font-size:17px;font-weight:bold;line-height:inherit;vertical-align:baseline;color:rgb(0,51,102);background-color:transparent"><ins style="font-size:14px;font-style:inherit;text-align:right;font-weight:normal;max-width:812px;margin:0px;padding:0px;border:0px;line-height:21px;vertical-align:baseline;background-color:transparent;text-decoration:none">- </ins><span style="font-size:14px;font-style:italic;text-align:right;font-weight:normal;background-color:transparent">Edmund Burke</span></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 24, 2016 at 5:22 PM, Eoin Keary <span dir="ltr"><<a>eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Yep,</div><div>You can't ban anything it's the Internet.</div><div>Anything over used, consumed or abused can be bad.</div><div>I just don't worry about such things. </div><span><font color="#888888"><div><br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size:13pt"><br></span></div><div><br></div></div></font></span><div><div><div><br>On 24 May 2016, at 21:54, johanna curiel curiel <<a>johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Eoin<div><br></div><div>I think you got my point. Setting restrictions like verifications are not the final solution but I wonder what will happen because whether you like it or not, makes it more difficult for everyone to use it, however if you are a white hat, you will verify . Blackhats will definitely move to another tool than go and adapt it.</div><div><br></div><div><br></div><div>For those who have not seen the video and read Phineas hacking instructions I highly recommended</div><div><br></div><div><a href="https://tune.pk/video/6528544/hack" target="_blank">https://tune.pk/video/6528544/hack</a><br></div><div><br></div><div>BTW: You can use it as learning video 😝</div><div>I call this lesson: </div><div><b>Angels and Demons: Do bad things using ZAP </b></div><div> for the good reasons (if you hate police abuse)😇</div><div> for the bad reason ,leaking the entire catalan Union data online😈 and inviting others to hack back!</div><div><br></div><div>VOTE ANARCHIST!!!!!!!</div><div><br></div><div><a href="http://www.nltimes.nl/2015/06/30/riots-in-the-hague-after-aruban-dies-in-police-custody/" target="_blank">http://www.nltimes.nl/2015/06/30/riots-in-the-hague-after-aruban-dies-in-police-custody/</a><br></div><div><a href="https://www.youtube.com/watch?v=Zxp2C6yuTao" target="_blank">https://www.youtube.com/watch?v=Zxp2C6yuTao</a><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 24, 2016 at 9:28 AM, Eoin Keary <span dir="ltr"><<a>eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The Internet is evil also. It needs to be banned/restricted!<div><div>No Internet == no cyber hackers!!</div><div>😀<br></div></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Tue, May 24, 2016 at 2:52 AM, Mario Robles <span dir="ltr"><<a>mario.robles@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Hmm</div><div>"Hacking Tools" find the bad stuff, the pentester should include how to fix it in the report then later will meet with the development team to guide them on how to fix the issues</div><div><br></div><div>I prefer Zap team focusing on how to find more stuff rather than spending time on generic remediation steps that most likely will be different for every issue on every development project, that's a complaint developers have about generic reports right ?</div><div><br></div><div>If the dev team is committed with security then they use tools made for prevention directly in their IDE, zap is made for detection if their prevention was not enough </div><div><br></div><div>:)<br><br>Mario <div><div># Please excuse any typos as this was sent from a mobile device </div></div></div><div><div><div><br>El 23 may 2016, a las 1:33 p.m., johanna curiel curiel <<a>johanna.curiel@owasp.org</a>> escribió:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div style="font-size:13px">>>There is nothing stopping defenders from using "attacking" tools to secure their networks, servers, etc. After all we all port scan and vulnerability scan our infrastructure, right?</div><div><br></div><div>Hi Liam</div><div><br></div><div>I can see majority of the people answering are pen testers. I'm a developer that learn pen testing to so called 'secure' apps</div><div><br></div><div> It all depends on the technology and system.You find the holes but this per se does not fix them or even worse, makes you realise that if the developer knew how to code securely from the beginning a lot of headaches could have been avoided.</div><div><br></div><div>Recently I tested a .NET app build using 3.5 SP1 and no master pages or MVC(available in +4). The so called 'ViewState' did not help against CRSF . In fact the developer has to rebuild the whole thing using MVC +.NET 4.0.if he wants to protect this properly.</div><div><br></div><div>IS it feasible at this point? Nope. Will the company release the code even with the issue? Yep. </div><div><br></div><div>pen testing only helps find the wholes. Fixing them is another story.Hacking tools don't help you 'secure' applications. They only help you verify the security built by them.</div><div><br></div><div>Another anecdote. I used to work as RPG developer for a legacy AS/400 banking system. The whole things works with cgi (yikes!)</div><div>The pen tester found a CRSF attack. The architect said: prove it. Then the bug headache came: How to fix this?</div><div>Yes, it was a headache to fix and it did not happened immediately.In fact that architect 'hates' pen testers...😜</div><div><br></div><div>I think we should stop this discussion. </div><div><br></div><div>I think I'm starting a survey just to check how many of you work defending applications, I mean like <b><u>patching, fixing vulnerabilities in code</u></b>, so I might verify if I'm the only developer in OWASP trying to defend applications and that I'm alone among pen testers...</div><div><br></div><div>Then I'm definitely in the wrong community 😁</div><div><br></div><div><br></div><div>Cheers</div><div><br></div><div>Johanna</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 23, 2016 at 2:49 PM, Liam Smit <span dir="ltr"><<a>liam.smit@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Simon<div><br></div><div>ZAP needs to be as effective as possible at finding vulnerabilities. Hobbling it by making it easier to detect makes it less effective. E.g. some vendor's firewall detects the scan and blocks it. When the actual exploit comes along it is not detected and the application is compromised.<br></div><div><br></div><div>The better it is at detecting vulnerabilities the better it can be used by defenders to plug the holes. There is nothing stopping defenders from using "attacking" tools to secure their networks, servers, etc. After all we all port scan and vulnerability scan our infrastructure, right?</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Liam</div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><span><br><span>OWASP-Leaders mailing list</span><br><span><a>OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></span></div></blockquote></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a>OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div><div><font style="color:rgb(153,153,153)" size="1">OWASP Volunteer</font><br></div><div><font style="color:rgb(153,153,153)" size="1">@eoinkeary</font></div>
</div></div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></blockquote></div></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</blockquote>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>