<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Hi,</div><div id="AppleMailSignature">So how does this educate developers or help improve security/secure development?</div><div id="AppleMailSignature">Thanks,</div><div id="AppleMailSignature">Eoin.</div><div id="AppleMailSignature"><br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size: 13pt;"><br></span></div><div><br></div></div><div><br>On 30 Jul 2016, at 02:40, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org">johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><span style="font-size:13px">>>Could you connect the dots to OWASP's mission?</span><br><div><br></div><div>Sure, and  thank you for your interest.</div><div><br></div><div>You can use shellcode in multiple ways a you know, such as web payloads, that exploit misconfigurations of web servers (such as HTTP method PUT/DELETE methods). As explained on the OWASP top ten on the section Security Misconfigurations.</div><div><a href="https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration">https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration</a><br></div><div>A web payload loaded using a weakness in a misconfiguration (PUT method allowed and WebDav enabled) will allow you to connect using a reverse shell , all thanks to shellcode ;-)<br></div><div><a href="http://www.sans.org/security-resources/malwarefaq/webdav-exploit.php">http://www.sans.org/security-resources/malwarefaq/webdav-exploit.php</a><br></div><div><br></div><div>Or how Angler exploit kit works using a drive-by-download/web attack using obfuscated javascript code,:<a href="https://blogs.sophos.com/2014/03/26/how-malware-works-anatomy-of-a-drive-by-download-web-attack-infographic/">https://blogs.sophos.com/2014/03/26/how-malware-works-anatomy-of-a-drive-by-download-web-attack-infographic/</a></div><div><a href="https://www.owasp.org/images/e/ec/OWASP_Dasient_11_10_10.pdf">https://www.owasp.org/images/e/ec/OWASP_Dasient_11_10_10.pdf</a><br></div><div><br></div><div>ZSC is not only a shellcoder but also an obfuscator for web files in PHP, Ruby, Javascript  and Python among different languages and obfuscation algorithms As an obfuscation tool that can be used during CTF games and more. Our dots with web security are also into the research of obfuscation as explained in this book:</div><div><br></div><div><a href="https://books.google.com/books?id=Znxa3zrJWJsC&pg=PA22&lpg=PA22&dq=complex+algorithms+obfuscation&source=bl&ots=0I0tEcgfyM&sig=oo0Ujkg-bHi9IhW77nkaf93r6Gs&hl=en&sa=X&ved=0ahUKEwjfgZjp_5nOAhWIbB4KHWCGClM4ChDoAQgbMAA#v=onepage&q=complex%20algorithms%20obfuscation&f=false">https://books.google.com/books?id=Znxa3zrJWJsC&pg=PA22&lpg=PA22&dq=complex+algorithms+obfuscation&source=bl&ots=0I0tEcgfyM&sig=oo0Ujkg-bHi9IhW77nkaf93r6Gs&hl=en&sa=X&ved=0ahUKEwjfgZjp_5nOAhWIbB4KHWCGClM4ChDoAQgbMAA#v=onepage&q=complex%20algorithms%20obfuscation&f=false</a><br></div><div><br></div><div>In the upcoming modules, we are planning to program and experiment with more sophisticated obfuscation modules and explore the limits this area has to offer:</div><div><a href="https://eprint.iacr.org/2015/793.pdf">https://eprint.iacr.org/2015/793.pdf</a></div><div><a href="http://profs.sci.univr.it/~giaco/download/Watermarking-Obfuscation/jhide-report.pdf">http://profs.sci.univr.it/~giaco/download/Watermarking-Obfuscation/jhide-report.pdf</a></div><div><br></div><div>Our goal is to provide more information on this subject which is related to web application security  but definitely with a strong link to network and OS security.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 29, 2016 at 8:49 PM, Jeff Williams <span dir="ltr"><<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
                <div style="padding-left:20px;padding-right:20px;padding-bottom:8px"><div>Thanks for that. I'm quite familiar with shellcode. Could you connect the dots to OWASP's mission?<br><br><div>--Jeff<br></div></div></div>
                <div class="gmail_quote">_____________________________</div><div class="gmail_quote">From: johanna curiel curiel <<a dir="ltr" href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>><br>Sent: Friday, July 29, 2016 8:12 PM<br>Subject: Re: [Owasp-leaders] Update: OWASP ZSC Version 1.1.0<br>To: Jeff Williams <<a dir="ltr" href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>><br>Cc:  <<a dir="ltr" href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>>,  <<a dir="ltr" href="mailto:owasp-community@lists.owasp.org" target="_blank">owasp-community@lists.owasp.org</a>>, Pratik Patel <<a dir="ltr" href="mailto:pratikpatel15133@gmail.com" target="_blank">pratikpatel15133@gmail.com</a>>, Akash Trehan <<a dir="ltr" href="mailto:akash.trehan123@gmail.com" target="_blank">akash.trehan123@gmail.com</a>>, Paras Chetal <<a dir="ltr" href="mailto:paras.chetal@gmail.com" target="_blank">paras.chetal@gmail.com</a>><div><div class="h5"><br><br><br><div dir="ltr">Jeff<div><br></div><div>The best would be to read the documentation to get a sense of what is what the tool does</div><div><br></div><div>Which is a shellcode generator, similar to msfvenom, off course , still in development but with very interesting features:</div><div><a href="https://www.gitbook.com/book/ali-razmjoo/owasp-zsc/details" target="_blank">https://www.gitbook.com/book/ali-razmjoo/owasp-zsc/details</a><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 29, 2016 at 6:27 PM, Jeff Williams <span dir="ltr"><<a href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Not sure I quite get this. Could you explain the field of use for this tool?  Thx,<br><br><div>--Jeff<br><br></div><div><div><br><br><br><br><div class="gmail_quote">On Fri, Jul 29, 2016 at 4:44 PM -0400, "johanna curiel curiel" <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="3D"ltr""><div dir="ltr"><div>Hi All,</div><div><br></div><div>We kindly invite you to check out OWASP ZSC project ,some major rework has been done lately:</div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_ZSC_Tool_Project" target="_blank">https://www.owasp.org/index.php/OWASP_ZSC_Tool_Project</a><br></div><div><br></div>Thank you to all these amazing volunteers for their efforts:<div><a href="https://magic.piktochart.com/output/15189094-owasp-zsc-team" target="_blank">https://magic.piktochart.com/output/15189094-owasp-zsc-team</a></div><div><br></div><div>Please we invite you to try out the project and let us know your experience.</div><div><br></div><div>Your feedback is very important to us.</div><div><br></div><div>Thank you for your time and consideration</div><div><br></div><div>Regards</div><div><br></div><div>Johanna<br><div><div><br></div><div><div dir="ltr"><br></div></div></div></div></div></div></blockquote></div></div></div></div></blockquote></div><br><br><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div></div><br><br></div></div></div>
        </blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>