<div dir="ltr">John,<div><br></div><div>To clarify your questions:</div><div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><br></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><b>>>Do we have a response team that can handle specific bug report?</b><br></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif">Yes, that will be BugCrowd team, who is helping us with setting up the Bug Bounty for OWASP projects and hopefully the infrastructure in the future: </font><span style="font-size:small"><a href="https://www.owasp.org/index.php/Bug_Bounty_Projects" target="_blank">https://www.owasp.org/index.php/Bug_Bounty_Projects</a></span></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><br></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><b>>>The team who will handle this Project will receive a bunch of report in a day, how can we handle this stuff?</b><br></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif">BugCrowd team will do that, but there are some members that have volunteered for that part too, check this out:</font></div><div class="gmail_default" style="font-size:13px"><a href="https://www.owasp.org/index.php/Help_Secure_Owasp_assests" target="_blank">https://www.<span class="">owasp</span>.org/index.php/Help_Secure_Owasp_assests</a><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><br></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><b>>>we can also start 100 USD minimum in bug, and the other reward amount can depend on the impact and severity the bug.</b></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><br></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif">No , this is about hacking for Charity ;-) and fame.</font><br><br></div><div class="gmail_default" style="font-size:13px;font-family:'comic sans ms',sans-serif"><b>>>we need to set scope's of the testing environment so that we can control and easy to identify the problem.</b></div></div><div class="gmail_default" style="font-size:13px"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">Thats the part Matt who knows the system can help provide but is going to cost. Ideally we need to setup a mirror environment to avoid attacks on the infra for this reason. Josh answered part of this already</font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 4:00 AM, John Patrick Lita <span dir="ltr"><<a href="mailto:john.patrick.lita@owasp.org" target="_blank">john.patrick.lita@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:comic sans ms,sans-serif">yes sir i already read that :) <br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif">just my thought if this project will go through :)<br></div></div><div class="gmail_extra"><span class=""><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><b><u>John Patrick Lita</u> </b><br></div><div>Manager for cyber security and IT services<br></div><div>OWASP Manila chapter chairman<br></div>FB Page @<a href="https://www.facebook.com/OwaspManila" target="_blank">OwaspManila</a><br><b><a href="https://www.owasp.org/index.php/Manila" target="_blank">https://www.owasp.org/index.php/Manila</a></b><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-manila" target="_blank"><span></span></a></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On Tue, Jun 21, 2016 at 2:30 PM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">John<div><br></div><div>I don't know if you read Josh's reply, but he clearly stated that this is NOT happening right now. </div><div><br></div><div>As Josh stated - <br></div><span><div><br></div><div>"<span style="font-size:12.8px">The Bug Bounty program for OWASP Infrastructure has been intentionally put on hold for the time being.  The reason is that we have known issues that need to be remediated, but Matt hasn't had the time to do it given his limited cycles.  The Board has made a couple of changes that should impact this over the next month or so and hopefully move this project in the right direction.  Once we have a better handle on the current (known) issues, then we can start exploring the Bug Bounty to find the unknown issues."</span></div><div><br></div></span><div>What will happen if you go ahead without permission is that zillions of folks will run content discovery, spidering, and active scans on our stuff, and the only result is that the systems go offline for them for about a day or more as they are blacklisted by our automated attack response mechanisms, but not before our infrastructure goes offline for all.  We know we have issues, let's get those sorted before we open it up to high hanging fruit rewards. </div><div><br></div><div>We have announcements in this area after another announcement that is due at the F2F in Rome. Please wait. It's only like a week now. </div><div><br></div><div>thanks,</div><div>Andrew</div><div><br></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 4:10 PM, John Patrick Lita <span dir="ltr"><<a href="mailto:john.patrick.lita@owasp.org" target="_blank">john.patrick.lita@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:comic sans ms,sans-serif">This is one of a great project we have, it help us to make our Wiki more secure, my question is<br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif"><br>Do we have a response team that can handle specific bug report?<br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif">The team who will handle this Project will receive a bunch of report in a day, how can we handle this stuff?<br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif">we can also start 100 USD minimum in bug, and the other reward amount can depend on the impact and severity the bug.<br><br></div><div class="gmail_default" style="font-family:comic sans ms,sans-serif">we need to set scope's of the testing environment so that we can control and easy to identify the problem.<br><br></div></div><div class="gmail_extra"><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><b><u>John Patrick Lita</u> </b><br></div><div>Manager for cyber security and IT services<br></div><div>OWASP Manila chapter chairman<br></div>FB Page @<a href="https://www.facebook.com/OwaspManila" target="_blank">OwaspManila</a><br><b><a href="https://www.owasp.org/index.php/Manila" target="_blank">https://www.owasp.org/index.php/Manila</a></b><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-manila" target="_blank"><span></span></a></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote"><div><div>On Tue, Jun 21, 2016 at 11:52 AM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div><div>Johanna,<br><br></div>The Bug Bounty program for OWASP Infrastructure has been intentionally put on hold for the time being.  The reason is that we have known issues that need to be remediated, but Matt hasn't had the time to do it given his limited cycles.  The Board has made a couple of changes that should impact this over the next month or so and hopefully move this project in the right direction.  Once we have a better handle on the current (known) issues, then we can start exploring the Bug Bounty to find the unknown issues.<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">~josh<br></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 9:41 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Frank, Josh<div><br></div><div>I spoke today with BugCrowd team (Hunter + <font face="Arial, sans-serif">Jonathan Cran) regarding the Bug bounty program for OWASP.</font></div><div><font face="Arial, sans-serif"><br></font></div><div><font face="Arial, sans-serif">As you known, I'm working on the projects , however not so much traction has been done regarding the Bug Bounty for infra.</font></div><div><font face="Arial, sans-serif"><br></font></div><div><font face="Arial, sans-serif">I mentioned to Bugcrowd that the important piece for a bounty for infra is to have mirror setup of Wiki+mailman since we do not want attacks on the production environment.</font></div><div><font face="Arial, sans-serif"><br></font></div><div>I think the first step is to make sure we are able to replicate the environment  checking with Matt Tesauro how can we do this and what is needed and make a budget of the costs involved . Once the budget is in place, then we can take a look of the organizations that volunteered to help us with this part.</div><div><br></div><div><font face="Arial, sans-serif">For those who volunteered in the past, please contact us to see how can we kickoff the Bounty for OWASP infra.</font></div><div><font face="Arial, sans-serif"><br></font></div><div><font face="Arial, sans-serif">Cheers<span><font color="#888888"><br clear="all"></font></span></font><span><font color="#888888"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div></div>
</blockquote></div><br></div>
</div></div><br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>