<div dir="ltr"><div>Thanks Matt,<br><br></div>Cheers! and have a great day.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 1, 2016 at 7:53 PM, Matt Tesauro <span dir="ltr"><<a href="mailto:matt.tesauro@owasp.org" target="_blank">matt.tesauro@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">FYI:  Fady - your account just got approved.<div><br></div><div>Happy wiki editing.</div><div><br></div><div>Cheers!</div><div class="gmail_extra"><span class=""><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div dir="ltr">--<br>-- Matt Tesauro </div><div dir="ltr">OWASP AppSec Pipeline Lead</div><div dir="ltr"><a href="https://www.owasp.org/index.php/OWASP_AppSec_Pipeline" style="font-size:12.8px" target="_blank">https://www.owasp.org/index.ph<wbr>p/OWASP_AppSec_Pipeline</a><span style="font-size:12.8px"> </span><br style="font-size:12.8px"><div style="font-size:12.8px">OWASP WTE Project Lead<br><u><a href="https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project" target="_blank">https://www.owasp.org/index.ph<wbr>p/OWASP_Web_Testing_Environmen<wbr>t_Project</a></u><br><a href="http://appseclive.org/" target="_blank">http://AppSecLive.org</a> - Community and Download site</div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On Thu, Sep 1, 2016 at 11:51 AM, Matt Tesauro <span dir="ltr"><<a href="mailto:matt.tesauro@owasp.org" target="_blank">matt.tesauro@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Fady, <div><br></div><div>While I generally agree with Dave's advice, there's one thing he may not know since he's had a wiki account, well, almost forever. ; )</div><div><br></div><div>The wiki has been, off and on, flooded with bogus account requests starting in early 2016.  At the peak, we were seeing ~700 account requests per month with a peak at 966.  Kate has been doing heroic efforts to allow only legitimate requests through.  The ones that slip through have been SPAM'ing the wiki, in some cases 250+ new or edited pages.  When multiple SPAM'ers got through, we had SPAMers editing other SPAMers' pages which breaks the built-in wiki cleanup tools.  So much so, that I wrote a custom program to clean up really bad SPAM attacks [1].</div><div><br></div><div>So, let me know here that you put in a request for a wiki account after you confirm your email address per the email sent from the wiki so I can get you the access you deserve.</div><div><br></div><div>FOR THE REST OF YOU:  At least in the near term, please submit the form and confirm your address THEN submit a ticket in the Contact Us form at <a href="https://www.tfaforms.com/308703" target="_blank">https://www.tfaforms.com/30<wbr>8703</a> with "IT Support" as your type of help and tell us what bit you want to edit/add.  That will help us distinguish the real from the bogus.</div><div><br></div><div>I have generally not talked much about this primarily to keep the SPAMer in the dark in the case they are closely looking at our wiki and mail lists.  However, I'd like to community to know why getting a wiki account isn't as easy as it once was AND, that we're working on fixing this issue.  I'll be spending a good chuck of the upcoming US holiday weekend doing updates on the wiki for this and other reasons.</div><div><br></div><div>---------</div><div><br></div><div>To try to answer potential questions:</div><div><br></div><div>(1) Use anti-automation [something] or a CAPTCHA to remove these requests</div><div><br></div><div>These are not normal script kiddie blunt automation attacks.  For the SPAMer accounts that got through, they submitted a request, verified an email address, and submitted a "Contact Us' request asking for their account to be approved.  These include getting past a CAPTCHA.  They also directly emailed Kate, myself, <a href="mailto:webmaster@owasp.org" target="_blank">webmaster@owasp.org</a>, <a href="mailto:admin@owasp.org" target="_blank">admin@owasp.org</a> at various times and for various accounts.</div><div><br></div><div>Also, we're asking for a short bio now when you request a wiki account.  These request aren't just "asdf" or random text for the bios but decently written and legit sounding bios that are unique per request like this SPAMer example:</div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div>Hi my name is Trilok Sharma. I am a software professional with more than 10 years of desktop , web and mobile application development experience. i have completed many of the projects. I have expertise in c , c++ , Java , microsoft .net , java script , HTMl , CSS and object reporting technologies . i want to create a comutiny for active and well skilled software professionals. I have purchased a membership account also. kindly create my account. Thanking you.<br></div></blockquote></div><div><br></div><div>I suspect that the submissions are done by 'wet-ware' aka humans where labor costs are low enough to make this effective.  BTW, Trilok Sharma is not a paid OWASP member - big surprise. ;)</div><div><br></div><div>(2) Why?</div><div><br></div><div>I'm not 100% sure on this one.  They have been adding SPAM about Quickbooks support services.  Since we average between 7.5 and 8 million hits per week on the wiki, so I suspect SPAM on our wiki gives them lots of Google Foo as far as the search engine is concerned.</div><div><br></div><div>(3) Don't they just move to the next target once we stop approving their accounts and or start monitoring for SPAM more closely?</div><div><br></div><div>It kinda looks like we might be at that point.  The velocity of requests is starting to slow down but is still much higher then 'normal'.  There have been fewer SPAM cleanups - last one was in early August.  I don't have a handle on the value of SPAM'ing our wiki which is a good proxy on how much pain we need make their interactions with before they move on.</div><div><br></div><div>However, I can say two things about this SPAM'ing effort:</div><div><br></div><div>They are patient.  I've seen accounts that got approved stay dormant for weeks before 'waking up' and SPAM'ing the wiki.</div><div><br></div><div>They are persistent.  I've see an account sit dormant for a week, wake up and start SPAM'ing, then have the SPAM content removed.  After removing the SPAM, I notices HEAD requests for the URL of the SPAM page which 404 after removal.  About 2 hours after they start 404'ing, a new SPAM'er account wakes up and starts SPAM'ing.</div><div><br></div><div>---------</div><div><br></div><div>So, we're working on this and trying to find the right amount of scrutiny to place on requests before they get approved.  This may slow you down a bit.  We're sorry about that and we're actively working on getting things shored up to remove that slow-down.</div><div><br></div><div>Cheers!</div><div><br></div><div>[1] <a href="https://github.com/mtesauro/random-docs/tree/master/scripts/mediawiki/spam-cleanup" target="_blank">https://github.com/mtesaur<wbr>o/random-docs/tree/master/scri<wbr>pts/mediawiki/spam-cleanup</a></div></div><div class="gmail_extra"><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div dir="ltr">--<br>-- Matt Tesauro </div><div dir="ltr">OWASP AppSec Pipeline Lead</div><div dir="ltr"><a href="https://www.owasp.org/index.php/OWASP_AppSec_Pipeline" style="font-size:12.8px" target="_blank">https://www.owasp.org/index.ph<wbr>p/OWASP_AppSec_Pipeline</a><span style="font-size:12.8px"> </span><br style="font-size:12.8px"><div style="font-size:12.8px">OWASP WTE Project Lead<br><u><a href="https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project" target="_blank">https://www.owasp.org/index.ph<wbr>p/OWASP_Web_Testing_Environmen<wbr>t_Project</a></u><br><a href="http://appseclive.org/" target="_blank">http://AppSecLive.org</a> - Community and Download site</div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><div><div>
<br><div class="gmail_quote">On Thu, Sep 1, 2016 at 9:34 AM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Fady,<br><br></div>That's it. Just request an account on the wiki and it should be approved in short order and then you can create whatever pages your want and edit existing pages as well. 99% of what's on the OWASP wiki is publicly editable by anyone with a wiki account.  And once you have the new pages ready for release, let us all know about them and ask for a quick review/sanity check.<br><br></div><div>Thanks for offering to contribute.<br></div><div><br></div>-Dave<br><br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Thu, Sep 1, 2016 at 9:58 AM, Fady Othman <span dir="ltr"><<a href="mailto:fady.othman@owasp.org" target="_blank">fady.othman@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div dir="ltr"><div>Dears,<br><br>I was discussing "function injection" with a friend of mine who brought to my attention that a "function injection" page doesn't exist in OWASP website.<br><br>I also found that there's no "memcached injection" page.<br><br></div><div>I can work on both pages if you want but I don't know the steps, should I simply send a request to sign up for the wiki or is it more complicated than that?<br><br></div><div>Thanks,<br><br></div><div>Fady Othman<br></div></div>
</div>
<br></div></div>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div></div>
</blockquote></div><br></div></div></div></div>
</blockquote></div><br></div>