Hey guys... it is hard to productise application testing, but based on previous jobs you can really get a good &quot;gut feel&quot;<br><br>Recently at my company we decided to productise our app testing services and we began by assessing all our previous jobs, (The type of application, information stored, application architecture, privilege levels, levels of perceived risk and the number of days we had quoted on each job) This led to the revelation that primarily there were only 5 main types of applications we were being asked to test (barring the special cases such as mobile based apps etc)<br>
They were:<br><br>1. Static site (HTML pages, no active content)<br>2. Database driven dynamic site with read only access to users (e.g user can login and get&nbsp; a quote for an insurance but cannot write any data to d/b)<br>
3. Dynamic site, database read / write access by users, and site admin access<br>4. Dynamic site, inter user transactions, atleast 2 levels of access, possibly more<br>5. Type 4 above but with higher risk. e.g internet banking.<br>
<br>We observed that our previous quotes were based on the above factors as opposed to number of pages and that given the above information it was easy for us to estimate effort based on previous experience on similar applications. <br>
<br>So now its possible for our non-technical staff such as business analysts etc to estimate effort fairly accurately. Of course we also do mention to clients that should we come across any additional functionality which may require testing in our opinion then we may come back to you if we feel we need more time.<br>
<br>Just my $0.02 anyway.<br><br>Cheers<br><br><br><br><br><div class="gmail_quote">2008/5/2 Sumit Siddharth &lt;<a href="mailto:sumit.siddharth@gmail.com">sumit.siddharth@gmail.com</a>&gt;:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi List,<br>very interesting subject. I do take into account the following things:-<br>
<br>
Purpose of the application<br>
No. of dynamic pages<br>
No. of users <br>
No. of different user roles/priveleges<br>
And lots of more things..<br>
<br>
However, its easier to scope if the application is live while scoping
it and based on the experience its easier to judge&nbsp; the number of man
days. Although, the application with 100 dynamic pages, may appear to
be huge and the first impression could be to scope it for say 15 man
days, but it may turn out that the test could be adequately completed in say 8-9 man days or may be less.<br><br>Another important thing to consider is how many people are put on the test. Say for example, while 15 Man days of test split betwen a team of 4 man will finish the test in 4 days, it may sometimes actually be better to have a team of 2-3 people and run it for say 5-6 days. As more is a tester familiar with the application, better it will be.<br>

<br><br>Still, there is no rule of thumb, and number of man days may differ from company to company.<br><br>Sid<div><div></div><div class="Wj3C7c"><br><br><div class="gmail_quote">On Thu, May 1, 2008 at 3:56 AM, Bishan Singh Kochher &lt;<a href="mailto:bishan@sumerusolutions.com" target="_blank">bishan@sumerusolutions.com</a>&gt; wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Does that include reporting?<br>
<br>
My estimation is on same lines as Dharmesh however I budget extra time for<br>
reporting.<br>
<br>
My reporting time is based on what customer needs in the report. It<br>
generally includes an executive summary &amp; detailed report. But some<br>
customers request for best practice documents, application rating and some<br>
graphs.<br>
<br>
Bishan Singh Kochher<br>
--<br>
GNET, CISSP<br>
Sr. Security Analyst<br>
M. +91 934 135 6513<br>
<a href="http://www.sumerusolutions.com" target="_blank">www.sumerusolutions.com</a><br>
<div><div></div><div>&nbsp;<br>
<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:owasp-mumbai-bounces@lists.owasp.org" target="_blank">owasp-mumbai-bounces@lists.owasp.org</a><br>
[mailto:<a href="mailto:owasp-mumbai-bounces@lists.owasp.org" target="_blank">owasp-mumbai-bounces@lists.owasp.org</a>] On Behalf Of Dharmesh Mehta<br>
Sent: Wednesday, April 30, 2008 11:08 PM<br>
To: <a href="mailto:owasp-mumbai@lists.owasp.org" target="_blank">owasp-mumbai@lists.owasp.org</a><br>
Subject: [Owasp-Mumbai] Penetration testing - effort estimation<br>
<br>
Hi Sagar,<br>
<br>
Interesting discussion thread, I must say.<br>
<br>
Well, based on our experience with testing application for security in-house<br>
we have built a kind of metrics for estimates on few parameters. These<br>
typically are # of dynamic pages and complexity of application (based on #<br>
of input params) as simple, complex or very complex.<br>
<br>
For 40-50 dynamic pages to be tested, we would ideally estimate 128 hours of<br>
manual testing and 32 hours of regression.<br>
<br>
Would surely like to know how others also would have estimated.<br>
<br>
Regards,<br>
Dharmesh Mehta<br>
<a href="http://smartsecurity.blogspot.com" target="_blank">http://smartsecurity.blogspot.com</a><br>
<br>
<br>
<br>
On Tue, Apr 29, 2008 at 6:23 PM, Sagar Surana &lt;<a href="mailto:sagar.surana@amdocs.com" target="_blank">sagar.surana@amdocs.com</a>&gt;<br>
wrote:<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Hi,<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;I would like to start a new discussion here to discuss on effort<br>
estimation for penetration testing. ( Keeping aside the business motivations<br>
behind it. )<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;There is a wide range of different ways that companies estimate… , I<br>
am currently facing a lot of problem is terms of demands of management is<br>
terms of effort reduction for security testing…<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Typically I estimate around 30-40 days of effort ( Including retest<br>
) for a system with 40-50 dynamic screens…, lot of data driven, Oracle as<br>
DB…<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;The method is follow while testing is<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Do a test Design ( 40% )<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Perform Test Execution ( 60% )<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Keep Smiling,<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Sagar Subhash Surana<br>
 &nbsp; &nbsp; &nbsp; &nbsp;System Testing<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;+91.20.4015.3207 (desk)<br>
 &nbsp; &nbsp; &nbsp; &nbsp;2091.3207 (Internal)<br>
 &nbsp; &nbsp; &nbsp; &nbsp;+91.20.4015.3910 (fax)<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;AMDOCS &gt; CUSTOMER EXPERIENCE SYSTEMS INNOVATION<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;Did you know…?<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;As the industry&#39;s first customer experience system, Amdocs CES 7.5<br>
</div></div>&lt;<a href="http://amdocs.com/Site/Vision/ces75.htm" target="_blank">http://amdocs.com/Site/Vision/ces75.htm</a>&gt; &nbsp;helps service providers<br>
<div><div></div><div>differentiate brand, accelerate growth, integrate effectively and assure<br>
success so they can transform with lower risk.<br>
<br>
<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;It&#39;s not what you are that holds you back, it&#39;s what you think<br>
you&#39;re not<br>
<br>
<br>
<br>
This message and the information contained herein is proprietary and<br>
confidential and subject to the Amdocs policy statement, you may review at<br>
<a href="http://www.amdocs.com/email_disclaimer.asp" target="_blank">http://www.amdocs.com/email_disclaimer.asp</a><br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;_______________________________________________<br>
 &nbsp; &nbsp; &nbsp; &nbsp;OWASP-Mumbai mailing list<br>
 &nbsp; &nbsp; &nbsp; &nbsp;<a href="mailto:OWASP-Mumbai@lists.owasp.org" target="_blank">OWASP-Mumbai@lists.owasp.org</a><br>
 &nbsp; &nbsp; &nbsp; &nbsp;<a href="https://lists.owasp.org/mailman/listinfo/owasp-mumbai" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-mumbai</a><br>
<br>
<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
OWASP-Mumbai mailing list<br>
<a href="mailto:OWASP-Mumbai@lists.owasp.org" target="_blank">OWASP-Mumbai@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-mumbai" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-mumbai</a><br>
</div></div></blockquote></div><br><br clear="all"><br></div></div>-- <br><font color="#888888">Sumit Siddharth
</font><br>_______________________________________________<br>
OWASP-Mumbai mailing list<br>
<a href="mailto:OWASP-Mumbai@lists.owasp.org">OWASP-Mumbai@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-mumbai" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-mumbai</a><br>
<br></blockquote></div><br>