Also asking this here since most of you are not on the OWASP Leaders list.<div><br>Dinis Cruz<div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Dinis Cruz</b> <span dir="ltr"><<a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a>></span><br>
Date: 3 May 2012 23:24<br>Subject: Is there a spreadsheet/template for Mapping WebServices Authorization Rules?<br>To: <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br><br><br>What is the best way to map/document the Authorization Rules? (for example of WebServices)<div>
<br></div><div>I'm looking for a spreadsheet/template that allows the business-rules (i.e. 'who has access to what') to be mapped, visualized and analyzed.</div>
<div><br></div><div>I looked at <a href="http://owasp.org" target="_blank">owasp.org</a> and this is what I found (did I missed something?)</div><div><ul><li><a href="https://www.owasp.org/index.php/Guide_to_Authorization" target="_blank">Guide to Authorization</a> </li>

<li><a href="https://www.owasp.org/index.php/Codereview-Authorization" target="_blank">Codereview-Authorization</a> </li><li><a href="https://www.owasp.org/index.php/Testing_for_Authorization" target="_blank">Testing for Authorization</a> </li>
<li><a href="https://www.owasp.org/index.php/Reviewing_Code_for_Authorization_Issues" target="_blank">Reviewing Code for Authorization Issues</a> </li>
<li><a href="https://www.owasp.org/index.php/Cheat_Sheets" target="_blank">Cheat Sheets</a> (no Authorization one)</li></ul><div>In the past I have created a couple of these (some even with O2 Automation), but NDAs prevented me from sharing. So today, since I'm helping Arvind to create a set of Python scripts to test TeamMentor's WebServices, I took the time to create a model which I think came out quite well.</div>

<div><br></div><div>You can read about it here: <a href="http://diniscruz.blogspot.co.uk/2012/05/creating-spreadsheet-with-webservices.html" target="_blank">Creating a spreadsheet with WebService's Authorization Mappings</a> and this is what it looks like:</div>

<div><br></div><div><a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhHDFVmo550OdDZUcDU5eXpGVGFKWDZjS3VGUHdUTXc" target="_blank">https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhHDFVmo550OdDZUcDU5eXpGVGFKWDZjS3VGUHdUTXc</a></div>

<div><br></div><div><img src="http://2.bp.blogspot.com/-2iZUePh56co/T6KTGaWWX3I/AAAAAAAAADo/6S3jsSR6OJE/s640/Spreedsheet+with+autz_4.jpg" alt="Inline images 1"> </div><div><br></div><div>Since I'm going to integrate this with O2 next, it is better to change it into a better format/standard now (vs later).</div>

<div><br></div><div>I also think that we should have a couple of these templates in an easy to consume format on the OWASP WIki (I have lost count the amount of times that I have tried to explain the need for 'such authorization tables/mappings' without having good examples at hand).</div>

<div><br></div><div>Note that creating these mappings is just one part of the puzzle! Also as important is the ability to keep it well maintained, up-to-date and relevant.</div><br>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com" target="_blank">http://diniscruz.blogspot.com</a><br>

Twitter: <a href="http://twitter.com/DinisCruz" target="_blank">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2" target="_blank">http://www.owasp.org/index.php/O2</a><br>
</div>
</div><br></div></div>