<div dir="auto"><div>I would recommend that the issues that are marked like that are still reported, but as informational.  Just to ensure that they stay 'on the radar'. </div><div dir="auto"><br></div><div dir="auto">Just my 2 cents,</div><div dir="auto">Steven <br><div class="gmail_extra" dir="auto"><br><div class="gmail_quote">On 4 Jan 2017 21:39, "Travis McPeak" <<a href="mailto:travis.mcpeak@gmail.com">travis.mcpeak@gmail.com</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We've taken a similar approach in the Bandit project (Python security scanner).  We ignore any lines commented with "# nosec".  We typically recommend accompanying details to follow about why the code doesn't represent a security issue.<div><br></div><div>I like the approach.  We were able to implement it easily because we're the sole developers of Bandit.  You may have trouble gaining agreement and traction across multiple tools, but this seems sensible in principle.</div><div><br></div><div>Thanks,</div><div>-Travis<br><br><div class="gmail_quote"><div class="elided-text"><div dir="ltr">On Wed, Jan 4, 2017, 5:56 AM psiinon <<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="elided-text"><div dir="ltr" class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg">Leaders,<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg">All security tools suffer from false positives (FP’s), and good tools allow these FPs to be flagged in the tool. SAST tools also typically allow the source code to be annotated to prevent FPs from being flagged, eg the @SuppressWarnings annotation in Java.<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div>I've discussed this with Mozilla web developers and we have decided to start using what I've dubbed 'HTML security annotations'.<br class="m_-5009549813743391826gmail_msg"></div>The first one we will be using is to allow forms to be flagged as not requiring (anti) CSRF tokens, eg<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"><div style="margin-left:40px" class="m_-5009549813743391826gmail_msg"><span style="font-family:monospace,monospace" class="m_-5009549813743391826gmail_msg"><form action="/my-handling-form-<wbr>page" method="post" <span style="color:rgb(255,0,0)" class="m_-5009549813743391826gmail_msg">data-no-csrf</span>><br class="m_-5009549813743391826gmail_msg">    <div><br class="m_-5009549813743391826gmail_msg">        <label for="search">Search:</label><br class="m_-5009549813743391826gmail_msg">        <input type="text" id=”search" /><br class="m_-5009549813743391826gmail_msg">    </div><br class="m_-5009549813743391826gmail_msg"></form><br class="m_-5009549813743391826gmail_msg"></span></div><br class="m_-5009549813743391826gmail_msg"></div>The 'data-no-csrf' attribute is an indication that the developers know all about CSRF tokens and have decided that this form doesnt require one.<br class="m_-5009549813743391826gmail_msg"></div>Security tools _can_ choose to not flag such forms as being insecure because they dont have a CSRF token. They can also make it easier for their users to find all forms that so have such tokens:)<br class="m_-5009549813743391826gmail_msg"></div>Theres no guarantee that the developers are right, so a sensible pentester would not place too much faith in this attributes use.<br class="m_-5009549813743391826gmail_msg"></div>However its an easy and effective way to reduce FPs in DAST tools and also an easy way to indicate to bug bounty participants that they should only report these forms if they are _really_ sure they can be usefully exploited.<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div><div class="m_-5009549813743391826gmail_msg">There are other alternative solutions to this particular problem, including:<br class="m_-5009549813743391826gmail_msg"><ol class="m_-5009549813743391826gmail_msg"><li class="m_-5009549813743391826gmail_msg">Adding CSRF tokens to all forms whether they need it or not. That feels nasty to me and I'm not going to suggest it to our devs ;)</li><li class="m_-5009549813743391826gmail_msg">Having tool specific configurations for flagging FPs. Many tools support this but personally I like the annotation approach that can be adopted by all tools<br class="m_-5009549813743391826gmail_msg"></li></ol></div><div class="m_-5009549813743391826gmail_msg"></div>So thats the first one we're trying out, and I can see the potential for more of them.<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div>What do you think?<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div>If everyone else hates this idea then we can keep as Mozilla specific. However if there is broad support for this them maybe it could be mentioned on the relevant pages of the OWASP wiki.<br class="m_-5009549813743391826gmail_msg"></div>In any case I'll be adding the option to ignore forms flagged in this way to ZAP ;)<br clear="all" class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div><div class="m_-5009549813743391826gmail_msg">All constructive feedback appreciated, including suggestions for other annotations that could be useful.<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div><div class="m_-5009549813743391826gmail_msg">Cheers,<br class="m_-5009549813743391826gmail_msg"><br class="m_-5009549813743391826gmail_msg"></div><div class="m_-5009549813743391826gmail_msg">Simon<br class="m_-5009549813743391826gmail_msg"></div><div class="m_-5009549813743391826gmail_msg">-- <br class="m_-5009549813743391826gmail_msg"><div class="m_-5009549813743391826m_8039120611095968412gmail_signature m_-5009549813743391826gmail_msg"><a href="https://www.owasp.org/index.php/ZAP" class="m_-5009549813743391826gmail_msg" target="_blank">OWASP ZAP</a> Project leader<br class="m_-5009549813743391826gmail_msg"></div>
</div></div></div></div></div></div></div></div></div></div></div></div></div><div class="quoted-text">
______________________________<wbr>_________________<br class="m_-5009549813743391826gmail_msg">
OWASP-Leaders mailing list<br class="m_-5009549813743391826gmail_msg">
<a href="mailto:OWASP-Leaders@lists.owasp.org" class="m_-5009549813743391826gmail_msg" target="_blank">OWASP-Leaders@lists.owasp.org</a><br class="m_-5009549813743391826gmail_msg">
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" class="m_-5009549813743391826gmail_msg" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a><br class="m_-5009549813743391826gmail_msg">
</div></blockquote></div></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div></div>