<DIV>
<DIV>I can propose to work on this but mark can we go into a little more detail on how much and what all is to be covered are we going to do methodology for black box testing / white bbox testing etc with examples ?</DIV>
<DIV>&nbsp;</DIV>
<DIV>Chapter 5 -</DIV>
<P class=MsoToc2 style="MARGIN: 0in 0in 0pt 12pt; tab-stops: right dotted 431.5pt"><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><FONT size=3><FONT face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Interviews and Manual Inspection<SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted">. </SPAN></SPAN></FONT></FONT></SPAN></SPAN></P>
<P class=MsoToc2 style="MARGIN: 0in 0in 0pt 12pt; tab-stops: right dotted 431.5pt"><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><FONT size=3><FONT face="Times New Roman">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</FONT></FONT></SPAN></SPAN><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><FONT size=3><FONT face="Times New Roman">Code Review (white box testing)<SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted"> </SPAN></SPAN></FONT></FONT></SPAN></SPAN></P>
<DIV><SPAN class=MsoHyperlink><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'; mso-no-proof: yes; mso-fareast-font-family: 'Times New Roman'; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Penetration Testing (black box testing)<SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1"> </SPAN></SPAN></SPAN></SPAN></DIV>
<DIV><SPAN class=MsoHyperlink><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'; mso-no-proof: yes; mso-fareast-font-family: 'Times New Roman'; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1">
<P class=MsoToc2 style="MARGIN: 0in 0in 0pt 12pt; tab-stops: right dotted 431.5pt"><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Why Web Application Security Scanners Are (Normally) Not Good Enough<SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted">.</SPAN></SPAN></SPAN></SPAN></P><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted"></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></DIV>
<P><SPAN class=MsoHyperlink><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'; mso-no-proof: yes; mso-fareast-font-family: 'Times New Roman'; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1"><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted"></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN>&nbsp;</P>
<P><SPAN class=MsoHyperlink><SPAN style="FONT-SIZE: 12pt; FONT-FAMILY: 'Times New Roman'; mso-no-proof: yes; mso-fareast-font-family: 'Times New Roman'; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1"><SPAN class=MsoHyperlink><SPAN style="mso-no-proof: yes"><SPAN style="DISPLAY: none; COLOR: windowtext; TEXT-DECORATION: none; mso-hide: screen; text-underline: none"><SPAN style="mso-tab-count: 1 dotted">Nish.</SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></SPAN></P>
<P class=MsoToc2 style="MARGIN: 0in 0in 0pt 12pt; tab-stops: right dotted 431.5pt"><BR><B><I>Davis, Carl &lt;cdavis@fnni.com&gt;</I></B> wrote:</P>
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">
<META content="MS Exchange Server version 6.0.6249.1" name=Generator>
<DIV><FONT face=Verdana size=2>I would like to sign-up to assist with and or participate in&nbsp;the following:</FONT></DIV>
<DIV><FONT face=Verdana size=2><STRONG></STRONG></FONT>&nbsp;</DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
<DIV><FONT face=Verdana size=2><STRONG>Chapter 2 | Regulatory Requirements</STRONG></FONT></DIV>
<DIV><FONT face=Verdana size=2>(would also be willing to assist with other sections in this&nbsp;chapter)&nbsp;</FONT></DIV>
<DIV><FONT face=Verdana size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Verdana size=2><STRONG>Chapter 4 | Ten Principles... (debate)</STRONG></FONT></DIV>
<DIV><FONT face=Verdana size=2>(Plan to actively participate in this debate...development of list)</FONT></DIV>
<DIV><FONT face=Verdana size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Verdana size=2><STRONG>Chapter 5 | Examples Of Security Vulnerabilities Where Scanners Will Fail</STRONG></FONT></DIV>
<DIV><FONT face=Verdana size=2>(would also be willing to assist with other sections in this&nbsp;chapter)</FONT></DIV>
<DIV><FONT face=Verdana size=2></FONT>&nbsp;</DIV></BLOCKQUOTE></BLOCKQUOTE>
<DIV dir=ltr><FONT face=Verdana size=2>&nbsp;&nbsp;&nbsp;&nbsp; - Carl</FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
<DIV><FONT size=2>-----Original Message----- <BR><B>From:</B> Mark Curphey [mailto:mark.curphey@foundstone.com] <BR><B>Sent:</B> Sat 2/21/2004 1:06 AM <BR><B>To:</B> owasp-testing@lists.sourceforge.net <BR><B>Cc:</B> <BR><B>Subject:</B> [OWASP-TESTING] Testing Sign Up<BR><BR></DIV></FONT>
<P><FONT size=2>OK so looks like we are all happy with the basic outline we have today</FONT> <BR><FONT size=2>for Part 1, so I am afraid to say its time to sign up to complete a</FONT> <BR><FONT size=2>section before the end of next week as we discussed. By the way end of</FONT> <BR><FONT size=2>next week should mean 6pm Friday 27th Feb Pacific time I think. I know</FONT> <BR><FONT size=2>its RSA etc but ....</FONT> </P>
<P><FONT size=2>Please please don't sign up to do anything if you are going to not pull</FONT> <BR><FONT size=2>out all the stops to meet the deadline, but please please please do sign</FONT> <BR><FONT size=2>up for something !</FONT> </P>
<P><FONT size=2>I suggest we have a few people working on each section, if we have more</FONT> <BR><FONT size=2>that 6 volunteers. Divide and conquer baby !</FONT> </P>
<P><FONT size=2>This is what I think each chapter in Part 1 needs to achieve. And</FONT> <BR><FONT size=2>remember Part 1 is the What, Why, When, Where and Part 2 will be the</FONT> <BR><FONT size=2>How.</FONT> </P>
<P><FONT size=2>1. Introduction</FONT> <BR><FONT size=2>This chapter should set the scene of web applications, OWASP and how</FONT> <BR><FONT size=2>people can use this guide</FONT> </P>
<P><FONT size=2>2. Reasons for Testing</FONT> <BR><FONT size=2>This chapter should outline the end goal of building secure software and</FONT> <BR><FONT size=2>explain how testing should be performed against requirements or</FONT> <BR><FONT size=2>standards, best practices etc and what you can aim to achieve through</FONT> <BR><FONT size=2>testing.</FONT> </P>
<P><FONT size=2>3. Scope of Testing</FONT> <BR><FONT size=2>This chapter should set the scene that testing web applications (or web</FONT> <BR><FONT size=2>software as I am coming to call it myself) covers testing requirements,</FONT> <BR><FONT size=2>designs, process and implementations i.e. isn't about scanning.</FONT> </P>
<P><FONT size=2>4. Principles</FONT> <BR><FONT size=2>This chapter will be a set of high level principles such as "Test Early</FONT> <BR><FONT size=2>and Often". I think this would be good to debate over the list this</FONT> <BR><FONT size=2>week.</FONT> </P>
<P><FONT size=2>5. Testing Techniques</FONT> <BR><FONT size=2>This chapter should provide an overview of the types of testing</FONT> <BR><FONT size=2>techniques that exist including unit testing and code coverage / review,</FONT> <BR><FONT size=2>pen testing, threat modeling requirements and design testing etc. I</FONT> <BR><FONT size=2>think it should explain where each maybe appropriate in an SDLC and the</FONT> <BR><FONT size=2>advantages and disadvantages of each.</FONT> </P>
<P><FONT size=2>6. Testing Framework Explained</FONT> <BR><FONT size=2>This chapter should outline a proposed framework for testing that will</FONT> <BR><FONT size=2>incorporate the techniques described at various places in the SDLC. It</FONT> <BR><FONT size=2>will be more of a suggested way to create a testing process in an</FONT> <BR><FONT size=2>organization. </FONT></P>
<P><FONT size=2>I will sign up to do Chapter 1 on my own (as its easy) and Chapter 5. </FONT></P>
<P><FONT size=2>Anyone else have any specific interests ?</FONT> </P><BR><BR><BR><BR><BR>
<P><FONT size=2>Mark Curphey</FONT> <BR><FONT size=2>Consulting Director</FONT> <BR><FONT size=2>Foundstone, Inc.</FONT> <BR><FONT size=2>Strategic Security</FONT> </P>
<P><FONT size=2>949.297.5600 x2070 Tel </FONT><BR><FONT size=2>781.738.0857 Cell</FONT> <BR><FONT size=2>949.297.5575 Fax </FONT></P>
<P><FONT size=2><A href="http://www.foundstone.com/">http://www.foundstone.com</A> </FONT></P>
<P><FONT size=2>This email may contain confidential and privileged information for the</FONT> <BR><FONT size=2>sole use of the intended recipient. Any review or distribution by others</FONT> <BR><FONT size=2>is strictly prohibited. If you are not the intended recipient, please</FONT> <BR><FONT size=2>contact the sender and delete all copies of this message. Thank you. </FONT></P><BR>
<P><FONT size=2>-------------------------------------------------------</FONT> <BR><FONT size=2>SF.Net is sponsored by: Speed Start Your Linux Apps Now.</FONT> <BR><FONT size=2>Build and deploy apps &amp; Web services for Linux with</FONT> <BR><FONT size=2>a free DVD software kit from IBM. Click Now!</FONT> <BR><FONT size=2><A href="http://ads.osdn.com/?ad_id">http://ads.osdn.com/?ad_id</A>56&amp;alloc_id438&amp;op=click</FONT> <BR><FONT size=2>_______________________________________________</FONT> <BR><FONT size=2>owasp-testing mailing list</FONT> <BR><FONT size=2>owasp-testing@lists.sourceforge.net</FONT> <BR><FONT size=2><A href="https://lists.sourceforge.net/lists/listinfo/owasp-testing">https://lists.sourceforge.net/lists/listinfo/owasp-testing</A></FONT> </P></BLOCKQUOTE></BLOCKQUOTE></DIV><p><br><hr size=1>Post your free ad now! <a href="http://ca.personals.yahoo.com/"><b>Yahoo! Canada Personals</b></a><br>