<div dir="ltr">I would re-write a little the text in here. To clarify this. <div><br></div><div>At the moment we have a bounty for projects, starting with ZAP and next week we will make a bigger launch for projects like:</div><div>OWASP CRSFGuard</div><div>Java Sanitizer </div><div>Anti Samy</div><div>App sensor</div><div>ESAPI java</div><div>ModSecurity CRS rule</div><div><br></div><div><br></div><div>For this Bounty there is a page and a website hosting the apps protected by some of these libraries</div><div><a href="https://www.owasp.org/index.php/Bug_Bounty_Projects">https://www.owasp.org/index.php/Bug_Bounty_Projects</a><br></div><div><br></div><div><div>which is hosted here:</div><div><a href="http://bounty-crsfguard.info">http://bounty-crsfguard.info</a><br></div><div><a href="http://bounty-crsfguard.info:8080">http://bounty-crsfguard.info:8080</a></div></div><div><br></div><div>I have requested Claudia to create a repo under OWASP Github to host the apps such as this:</div><div><a href="https://github.com/owaspjocur/Apache-Shiro-CSRFGuard">https://github.com/owaspjocur/Apache-Shiro-CSRFGuard</a><br></div><div><br></div><div>In order to make things much easier for us, we will provide the example web apps with the protected libraries (Like Apache-Shiro example app protected with CRSFGuard) for the researchers to test with a clear setup , example OWASP Webgoat protected by Appsensor. We have our environment for own validation.<br></div><div><br></div><div><br></div><div>We have to take that page out because there are Bug Bunters that have submitted issues under ZAP that are for the Wiki and not ZAP. </div><div><br></div><div>We have to make clear OWASP is not running at this moment any bug bounty on the infrastructure. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 2:35 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Even as draft, can you please make it clear it only applies to OWASP Zap at this stage, and not our infrastructure, which remains off limits.<div><br></div><div>Folks only get rewarded for Zap bugs as per the Bug Bounty rules for bugs they find on their own systems. Not GitHub's, not ours. </div><div><br></div><div><a href="https://bugcrowd.com/owaspzap" target="_blank">https://bugcrowd.com/owaspzap</a><br><div><br></div><div>So get kudos for finding Zap bugs. Go nuts!</div><div><br></div><div>thanks,</div><div>Andrew</div></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Tue, Jun 21, 2016 at 12:51 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Wiki editors<div><br></div><div>I have set this page as draft cuz is confusing peeps about OWASP running a bug bounty</div><div><br></div><div>cheers</div><span><font color="#888888"><div><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></font></span></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>