<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Hi Michael, </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">The question for me, as a contributor to the top 10 via our SaaS/edgescan is; - what metrics were used to draw the conclusion?</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Is it subjective/"whatever feels right" or is it based in data?</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Without data anyone can draft a top 10 as it means little other than a marketing exercise or awareness doc not not accurate reflection.</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">As an organisation we should be directing people to quick wins, most common issues and focus on a risk based approach..what's the most common vulnerability etc</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">The issue A7 is rather unclear. Some folks are saying RASP, others WAF, you are saying credential stuffing / focused brute force. So given there is debate on its meaning amongst us how can we expect developers to grasp this issue?</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Love you all 😍🤡</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Eoin.</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br>Sent from my iPhone</div><div><br>On 12 Apr 2017, at 19:34, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>There will be lots of discussion on the new Top10 RC, which is great. I encourage many to bring comments, feedback and data to the conversation.</div><div><br></div><div>I'll keep my comments brief. I'm very much in favor of A7. It could use some word cleanup, perhaps a more fitting title too. But the spirit of what's being discussed is an important advancement to defending web applications. (Also, I don't consider this to be a WAF recommendation, I wouldn't go that route on this at all)</div><div><br></div><div>A7 reminds me of the massive credential stuffing attacks issue that has hit many big sites over the past 18 months. No amount of secure dev, top 10s, or WAFs stop credential stuffing. Instead you need active defense that is smartly part of the application design.</div><div><br></div><div>So, if A7 draws attention to this type of issue (or similar - see <a href="https://www.owasp.org/index.php/OWASP_Automated_Threats_to_Web_Applications">OWASP automated threats</a>) then I consider that a win.</div><div><br></div><div>Just my 2cent contribution to the larger conversation.</div><div><br></div><div>Carry on security folks!</div><div><br></div><div><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div><br></div><div dir="ltr"><div><br></div><div><br></div><div><br><br></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Apr 12, 2017 at 4:42 AM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>As a Contributing company to the Top10 stats I'd like to understand the stats behind both new additions. Appreciated if someone can point me to the right files/stats model?</div><div id="m_-181887871943194718AppleMailSignature"><br></div><div id="m_-181887871943194718AppleMailSignature"><br></div><div id="m_-181887871943194718AppleMailSignature"><br></div><div id="m_-181887871943194718AppleMailSignature"><br>Sent from my iPhone</div><div><div class="h5"><div><br>On 12 Apr 2017, at 05:19, Azzeddine Ramrami <<a href="mailto:azzeddine.ramrami@owasp.org" target="_blank">azzeddine.ramrami@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div><div>Hi,<br><br></div>I agree to change the name from  "Insufficient Attack Protection" but not to Improper Trust Modeling".<br><br></div>I suggest to change it to  "Insufficient Attack Detection and Response".<br><br></div>Regards,<br></div>Azzeddine<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 12, 2017 at 7:24 AM, Norman Yue <span dir="ltr"><<a href="mailto:norman.yue@owasp.org" target="_blank">norman.yue@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hey folks,<div><br></div><div>Greetings from sunny Sydney - I hope this email finds you well. I apologise for spamming owasp-leaders with this, but I think this is important enough that this warrants the attention of the international leadership community.</div><div><br></div><div>Traditionally, we have been a trusted source of information with regards to web application information security, providing both tools and technical reference information to developers and application security professionals, to help secure the Internet for everyone.</div><div><br></div><div>Today, "Insufficient Attack Protection" is actually being considered for inclusion in an OWASP Top Ten list.</div><div><br></div><div>(Constructively, I think this should be replaced with something like "improper trust modelling", and we push the Google BeyondCorp line of thinking <a href="https://research.google.com/pubs/pub43231.html" target="_blank">https://research.google.com/pu<wbr>bs/pub43231.html</a> - the polar opposite to "buy a waf").</div><div><br></div><div>Words do not express my burning rage, and my disappointment that no-one else appears to feel the same way (I read through the owasp-topten list before posting this). Do people still care about the future of this community, and how OWASP is perceived throughout the information security industry?</div><div><br></div><div>With best regards,</div><div><br></div><div><br></div><div>Norm</div></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="m_-181887871943194718gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Azzeddine RAMRAMI<br> <a href="tel:+33%206%2065%2048%2090%2004" value="+33665489004" target="_blank">+33 6 65 48 90 04</a>.<br>OWASP CSRFGuard Project Leader<br>OWASP Leader (Morocco Chapter)<br></div><div>Cognitive Security Expert<br></div></div></div></div>
</div>
</div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div></div></div><br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>
</div></blockquote></body></html>