I would like to hear from the Owasp top ten team an exaplanation cause I agree at many levels with the issues expressed by Nicola<br><br>On Monday, May 15, 2017, Nikola Milosevic <<a href="mailto:nikola.milosevic@owasp.org">nikola.milosevic@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>Let me add my 2 cents, apart from the fact that this is very to the point, with data evidence and very helpful. </div><div><br></div><div>However, I have problems with all newly added items, since they seem to me overly generic. In the past OWASP Top 10 used to be quite specific in terms of attacks. Now we have <b>Insufficient Attack Protection</b> and <b>Underprotected APIs. </b>I really struggle to get over this two. I mean if you add underprotected APIs, why don't you have underprotected Web applications and underprotected infrastructure and we are done with OWASP Top 3. No need for 10 issues anymore. Underprotected API is including SQL injection, XSS, and all other attack vectors that can come over API. At least that seems to me from the document. Why not identify one that is the most common? Or make a new project, something like OWASP API Top 10, as we have OWASP mobile Top 10. And insufficient attack protection. Like what does that mean? We can finish OWASP Top 1 with that one. It covers all. Then you go description and it is about automated attack protection and blocking. At least the name seems to me to be wrong. Maybe call it "No brute force attack blocking", or maybe something similar in case it is not meant to be only about automatic brute force attacks.  As well probably it does not make sense to point out again critiques that came about this, such as <a href="http://www.skeletonscribe.net/2017/04/abusing-owasp.html" target="_blank">http://www.skeletonscribe.<wbr>net/2017/04/abusing-owasp.html</a></div><div><br></div><div>My kind suggestion would be to modify these two things not to be so generic as they are right now. </div></div><div class="gmail_extra"><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div>Pozdrav/Best regards,</div><div> </div><div>Nikola Milošević</div><div>OWASP Seraphimdroid project leader<br></div><div><a href="javascript:_e(%7B%7D,'cvml','nikola.milosevic@owasp.org');" target="_blank">nikola.milosevic@owasp.org</a></div></div><div><a href="https://www.owasp.org/index.php/Main_Page" target="_blank">OWASP - Open Web Application Security Project</a></div><div><a href="https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project" target="_blank">OWASP Seraphimdroid Project</a></div></div></div></div>
<br><div class="gmail_quote">On Mon, May 15, 2017 at 12:09 AM, Larry Conklin <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','larry.conklin@owasp.org');" target="_blank">larry.conklin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Dave and group hope you find this feedback on the Top Ten to be constructive.<div><br></div><div>

















<p class="MsoNormal"><font size="4">Feedback on candidate release OWASP TOP 2017</font></p>

<p><font size="4">A5- Security Misconfiguration.</font><span></span></p>

<p><span> </span></p>

<p><font size="4">Stating that security misconfiguration in not enough. It does bring forth the issues for developers and security professionals that important security vulnerabilities exist in server and application configurations. It does not address some large common security misconfiguration. OWASP Top Ten cannot not address every misconfiguration and it shouldn’t. But I feel that somehow within the OWASP Top ten we should address major Security misconfigurations that are prevalent to web sites. <span></span></font></p>

<p><span><font size="4"> </font></span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"><font size="4">Websites, mail servers, and other TLS-dependent services fall exactly within this gray zone. Right now we have a self-created crisis. Users are taught wrongly that https means safe and the green lock in the url means the web site is safe.  Yet evidence shows web sites are moving to TLS with misconfiguration settings.<span></span></font></span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"><font size="4"> </font></span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"><font size="4">Some basic statistics. Per weak DH website. <a href="https://weakdh.org" target="_blank">https://weakdh.org</a></font><span></span></span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"> </span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"> </span></p>

<table border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse;border:none">
 <tbody><tr>
  <td width="221" valign="top" style="width:221.4pt;border:1pt solid windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">Protocol</span><span style="font-family:calibri;color:black"> <span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-top-width:1pt;border-right-width:1pt;border-bottom-width:1pt;border-style:solid solid solid none;border-top-color:windowtext;border-right-color:windowtext;border-bottom-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">Vulnerable to Logjam</span><span style="font-family:calibri;color:black"><span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="221" valign="top" style="width:221.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">HTTPS — Top 1 Million Domains</span><span style="font-family:calibri;color:black"><span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-family:calibri;color:black">8.4%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="221" valign="top" style="width:221.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">HTTPS — Browser Trusted Sites</span><span style="font-family:calibri;color:black"><span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-family:calibri;color:black">3.4%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="221" valign="top" style="width:221.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">SMTP+StartTLS — IPv4 Address Space</span><span style="font-family:calibri;color:black"><span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-family:calibri;color:black">14.8%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="221" valign="top" style="width:221.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">POP3S — IPv4 Address Space</span><span style="font-family:calibri;color:black"><span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-family:calibri;color:black">8.9%<span></span></span></p>
  </td>
 </tr>
 <tr style="height:17.95pt">
  <td width="221" valign="top" style="width:221.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt;height:17.95pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">IMAPS — IPv4 Address Space<span></span></span></p>
  </td>
  <td width="221" valign="top" style="width:221.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt;height:17.95pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">8.4%<span></span></span></p>
  </td>
 </tr>
</tbody></table>

<p class="MsoNormal"><span style="font-family:calibri;color:black"> </span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"> “</span><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">The Logjam attack allows a man-in-the-middle attacker to downgrade vulnerable TLS connections to 512-bit export-grade cryptography. This allows the attacker to read and modify any data passed over the connection. The attack is reminiscent of the FREAK attack, but is due to a flaw in the TLS protocol rather than an implementation vulnerability, and attacks a Diffie-Hellman key exchange rather than an RSA key exchange. <i>The attack affects any server that supports </i></span><i><span style="font-size:11.5pt;font-family:courier;color:black">DHE_EXPORT</span></i><i><span style="font-size:11.5pt;font-family:'helvetica neue';color:black"> ciphers, and affects all modern web browsers. 8.4% of the Top 1 Million domains were initially vulnerable</span></i><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">."</span><span style="font-size:10pt;font-family:times"><span></span></span></p>

<p class="MsoNormal"><span style="font-size:10pt;font-family:times"> </span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black"> </span></p>

<p class="MsoNormal"><span style="font-family:calibri;color:black">Vulnerable if most common 1024-bit group is broken<span></span></span></p>

<table border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse;border:none">
 <tbody><tr>
  <td width="257" valign="top" style="width:257.4pt;border:1pt solid windowtext;padding:0in 5.4pt">
  <p class="MsoNormal"><span style="font-size:11.5pt;font-family:'helvetica neue';color:black">HTTPS — Top 1 Million Domains<span></span></span></p>
  </td>
  <td width="185" valign="top" style="width:185.4pt;border-top-width:1pt;border-right-width:1pt;border-bottom-width:1pt;border-style:solid solid solid none;border-top-color:windowtext;border-right-color:windowtext;border-bottom-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">17.9%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="257" valign="top" style="width:257.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">HTTPS – Browser Trusted Sites<span></span></span></p>
  </td>
  <td width="185" valign="top" style="width:185.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">6.6%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="257" valign="top" style="width:257.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">IPv4 Address Space<span></span></span></p>
  </td>
  <td width="185" valign="top" style="width:185.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">25.7%<span></span></span></p>
  </td>
 </tr>
 <tr>
  <td width="257" valign="top" style="width:257.4pt;border-right-width:1pt;border-bottom-width:1pt;border-left-width:1pt;border-style:none solid solid;border-right-color:windowtext;border-bottom-color:windowtext;border-left-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">%IKEv1 (IPsec VPNs) — IPv4 Address Space<span></span></span></p>
  </td>
  <td width="185" valign="top" style="width:185.4pt;border-style:none solid solid none;border-bottom-width:1pt;border-bottom-color:windowtext;border-right-width:1pt;border-right-color:windowtext;padding:0in 5.4pt">
  <p><span style="font-size:11.5pt;font-family:'helvetica neue'">66.1%<span></span></span></p>
  </td>
 </tr>
</tbody></table>

<p><span> </span></p>

<p><span style="font-size:11.5pt;font-family:'helvetica neue'">“Millions of HTTPS, SSH, and VPN servers all use the same prime numbers for Diffie-Hellman key exchange. Practitioners believed this was safe as long as</span><span style="font-size:15pt;font-family:helvetica"> </span><span style="font-size:11.5pt;font-family:'helvetica neue'">new key exchange messages were generated for every connection. However, the first step in the number field sieve—the most efficient algorithm for breaking a Diffie-Hellman connection—is dependent only on this prime. After this first step, an attacker can quickly break individual connections. This computation against the most common 512-bit prime used for TLS and demonstrate that the Logjam attack can be used to downgrade connections to 80% of TLS servers supporting DHE_EXPORT. <i>It has been estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime</i>. Breaking the single, most common 1024-bit prime used by web servers would allow passive eavesdropping on connections to 18% of the Top 1 Million HTTPS domains. A second prime would allow passive decryption of connections to 66% of VPN servers and 26% of SSH servers. A close reading of published NSA leaks shows that the agency's attacks on VPNs are consistent with having achieved such a break.”<span></span></span></p>

<p><span style="font-size:11.5pt;font-family:'helvetica neue'"><span> </span></span></p>

<p><font size="4">One issue we have with these vulnerabilities if the risk level Nation-state resources are needed. After Shadow Brokers source code leak and WannaCry ransomeware outbreak we have to review what vulnerabilities actually require national-state resources.</font></p>

<p><font size="4">The question is how do we dissimulate this information? I feel that the breadth and reach of the OWASP Top Ten needs to have a layer beneath it on some items/topics such as A5 Security Misconfiguration. I realize that some topics like XSS have some many variables that we can’t reach the depth of discussion needed. But on a sub-topic like SSL in A5 Security Misconfiguration this can help OWASP Top Ten shine brighter and have a far reaching affect. </font><span></span></p>

<p><span> </span></p>

<p>Reference: <a href="https://www.trustworthyinternet.org/ssl-pulse/" target="_blank">https://www.trustworthyinterne<wbr>t.org/ssl-pulse/</a><span></span></p>

<p><span> </span></p>

</div></div>
<br>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','OWASP-Leaders@lists.owasp.org');" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote><br><br>-- <br><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div><br>