<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; ">nope, seems something isnt happy with our version of wiki and mac support<DIV><BR class="khtml-block-placeholder"></DIV><DIV>Andrew, you use a mac, you seen this before?<BR><DIV><DIV>On 13 Oct 2006, at 20:11, Eoin wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite">Yep, had this before, dont turn on "remember me" and clear your cache.<BR>that seems to solve the problem<BR><BR><DIV><SPAN class="gmail_quote">On 13/10/06, <B class="gmail_sendername">Daniel Cuthbert</B> &lt;<A href="mailto:daniel.cuthbert@owasp.org"> daniel.cuthbert@owasp.org</A>&gt; wrote:</SPAN><BLOCKQUOTE class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Anyone else having a issue with the Wiki?<BR> seems once i go through the authentication process, the site returns<BR>a blank page<BR><BR>confused!<BR>On 13 Oct 2006, at 18:10, Matteo Meucci wrote:<BR><BR>&gt; I've talked about "4.2 Information Gathering" and " 4.8 Infrastructure<BR>&gt; and configuration Testing" with Carlo and Stefano.<BR>&gt; (<A href="http://www.owasp.org/index.php/">http://www.owasp.org/index.php/</A><BR>&gt; OWASP_Testing_Guide_v2_Table_of_Contents)<BR> &gt;<BR>&gt; May be we can merge these like that (deleting par.4.8):<BR>&gt;<BR>&gt; 4.2 Information Gathering<BR>&gt; 4.2.1 Spidering and googling<BR>&gt; 4.2.2 Analisys of error code<BR>&gt; 4.2.3 Infrastructure configuration management testing <BR>&gt; SSL/TLS Testing<BR>&gt; 4.2.4 Application configuration management testing<BR>&gt; File extensions handling<BR>&gt; Old, backup and unreferenced files<BR>&gt;<BR>&gt; What is your opinion?<BR>&gt; Mat<BR>&gt;<BR> &gt;<BR>&gt; On 10/13/06, Matteo Meucci &lt;<A href="mailto:matteo.meucci@gmail.com">matteo.meucci@gmail.com</A>&gt; wrote:<BR>&gt;&gt; Perfect.<BR>&gt;&gt; Thank you Stefano, I've added:<BR>&gt;&gt; 4.4.4 Directory traversal/file include <BR>&gt;&gt;<BR>&gt;&gt; What about your second idea...where can we insert this item?<BR>&gt;&gt;<BR>&gt;&gt; Mat<BR>&gt;&gt;<BR>&gt;&gt; On 10/13/06, Stefano Di Paola &lt;<A href="mailto:wisec@wisec.it">wisec@wisec.it</A> &gt; wrote:<BR>&gt;&gt;&gt; Just a couple of things that come to my mind (thanks to Matteo and<BR>&gt;&gt;&gt; Alberto)...<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt; Data Validation Testing chapter misses a little par. about<BR>&gt;&gt;&gt; directory traversal/local file include and remote file include. <BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt; Another point is about athentication and authorization chapter,<BR>&gt;&gt;&gt; on pages<BR>&gt;&gt;&gt; which miss to exit on a redirection when they find the login/<BR>&gt;&gt;&gt; passwd are <BR>&gt;&gt;&gt; wrong.<BR>&gt;&gt;&gt; An example below in Php:<BR>&gt;&gt;&gt; &lt;?<BR>&gt;&gt;&gt; if(islogged())<BR>&gt;&gt;&gt; header("Location : redir.php")<BR>&gt;&gt;&gt; // without exit and then login page follows <BR>&gt;&gt;&gt; logged-in code..-.<BR>&gt;&gt;&gt; ?&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt; Maybe in this cases a paragraph is worth writing to cover the<BR>&gt;&gt;&gt; issue and<BR>&gt;&gt;&gt; to point out the use of command line raw requests like curl and <BR>&gt;&gt;&gt; related.<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt; Stefano<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt; On gio, 2006-10-12 at 11:51 +0200, Matteo Meucci wrote:<BR>&gt;&gt;&gt;&gt; Yes,<BR>&gt;&gt;&gt;&gt; I think you are right: this paragraph already exists. <BR>&gt;&gt;&gt;&gt; look at:<BR>&gt;&gt;&gt;&gt; (<A href="http://www.owasp.org/index.php/">http://www.owasp.org/index.php/</A><BR>&gt;&gt;&gt;&gt; OWASP_Testing_Guide_v2_Table_of_Contents)<BR>&gt;&gt;&gt;&gt; 4.6 Data Validation Testing 0% TD <BR>&gt;&gt;&gt;&gt; 4.6.1 Cross site scripting 0% TD<BR>&gt;&gt;&gt;&gt; <A href="http://4.6.1.1">4.6.1.1</A> Incubated attacks 0% TD<BR>&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt; Ariel may be says that Incubated attacks are a combination of <BR>&gt;&gt;&gt;&gt; SQL Inj<BR>&gt;&gt;&gt;&gt; and XSS, but we can reasonably affirm that is a particular XSS<BR>&gt;&gt;&gt;&gt; attack.<BR>&gt;&gt;&gt;&gt; In the same paragraph we can show an example that how a XSS Inc <BR>&gt;&gt;&gt;&gt; Attack<BR>&gt;&gt;&gt;&gt; works exploiting an SQL Inj vulnerability.<BR>&gt;&gt;&gt;&gt; Right?<BR>&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt; Mat<BR>&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt; <BR>&gt;&gt;&gt;&gt; On 10/12/06, Eoin &lt;<A href="mailto:eoinkeary@gmail.com">eoinkeary@gmail.com</A>&gt; wrote:<BR>&gt;&gt;&gt;&gt;&gt; Hi,<BR>&gt;&gt;&gt;&gt;&gt; incubated attacks are important enough to warrant a section <BR>&gt;&gt;&gt;&gt;&gt; under XSS. It is<BR>&gt;&gt;&gt;&gt;&gt; another varient of XSS.<BR>&gt;&gt;&gt;&gt;&gt; Metteo what do you think?<BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt; On 11/10/06, Ariel Waissbein &lt; <A href="mailto:wata.34mt@coresecurity.com">wata.34mt@coresecurity.com</A>&gt; wrote:<BR>&gt;&gt;&gt;&gt;&gt;&gt; Hi all,<BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt; my first post and 2 cents here:<BR>&gt;&gt;&gt;&gt;&gt;&gt; <BR>&gt;&gt;&gt;&gt;&gt;&gt; I guess we should make a difference between the techniques of<BR>&gt;&gt;&gt;&gt;&gt;&gt; unit<BR>&gt;&gt;&gt;&gt;&gt;&gt; testing and the results of UT. Even if UT can be used to... e.g.,<BR> &gt;&gt;&gt;&gt;&gt;&gt; discover BO or SQL-injection vulns.<BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt; Although, I noticed that there is an Appendix for fuzzing<BR>&gt;&gt;&gt;&gt;&gt;&gt; which is<BR>&gt;&gt;&gt;&gt;&gt;&gt; another technique for discovering (some) vulnerabilities. <BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt; A new question: imagine the following situation: The pen tester<BR>&gt;&gt;&gt;&gt;&gt;&gt; discovers a SQL-injection vulnerability in a webapp he is <BR>&gt;&gt;&gt;&gt;&gt;&gt; auditing. This<BR>&gt;&gt;&gt;&gt;&gt;&gt; vuln. allows him to store some javascript in the Db and therefore<BR>&gt;&gt;&gt;&gt;&gt;&gt; perpetrate a XSS attack (incubated) on the users of this <BR>&gt;&gt;&gt;&gt;&gt;&gt; webapp.  My<BR>&gt;&gt;&gt;&gt;&gt;&gt; question is where do we describe this attacks? (I think they are<BR>&gt;&gt;&gt;&gt;&gt;&gt; important enough to be included somewhere.)<BR>&gt;&gt;&gt;&gt;&gt;&gt; <BR>&gt;&gt;&gt;&gt;&gt;&gt; Cheers,<BR>&gt;&gt;&gt;&gt;&gt;&gt; Ariel<BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt; Eoin Keary wrote:<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; Hi,<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; Question: <BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; Do we want to get into Unit Testing and SDLC methodology in<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; this guide?<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; I thought they would be more suite to Andrews dev guide or <BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; the code<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; review project.<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; unit testing is related to testing small blocks of a syaytem<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; individually and hence a development phase done prior to <BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; system and<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; integration testing.<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; The Guide currently focuses on penetration testing which is<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; "After the <BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; Fact" testing and not really one until the system in developed.<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; What y'all think?<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt; Eoin <BR>&gt;&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;&gt; _______________________________________________<BR>&gt;&gt;&gt;&gt;&gt;&gt; Owasp-testing mailing list<BR>&gt;&gt;&gt;&gt;&gt;&gt; <A href="mailto:Owasp-testing@lists.owasp.org"> Owasp-testing@lists.owasp.org</A><BR>&gt;&gt;&gt;&gt;&gt;&gt; <A href="http://lists.owasp.org/mailman/listinfo/owasp-testing">http://lists.owasp.org/mailman/listinfo/owasp-testing</A><BR>&gt;&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt; <BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt; --<BR>&gt;&gt;&gt;&gt;&gt; Eoin Keary OWASP - Ireland<BR>&gt;&gt;&gt;&gt;&gt; <A href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html </A><BR>&gt;&gt;&gt;&gt;&gt;  <A href="http://www.owasp.org/index.php/OWASP_Testing_Project">http://www.owasp.org/index.php/OWASP_Testing_Project</A><BR>&gt;&gt;&gt;&gt;&gt; <A href="http://www.owasp.org/index.php/OWASP_Code_Review_Project"> http://www.owasp.org/index.php/OWASP_Code_Review_Project</A><BR>&gt;&gt;&gt;&gt;&gt; _______________________________________________<BR>&gt;&gt;&gt;&gt;&gt; Owasp-testing mailing list<BR>&gt;&gt;&gt;&gt;&gt; <A href="mailto:Owasp-testing@lists.owasp.org"> Owasp-testing@lists.owasp.org</A><BR>&gt;&gt;&gt;&gt;&gt; <A href="http://lists.owasp.org/mailman/listinfo/owasp-testing">http://lists.owasp.org/mailman/listinfo/owasp-testing</A><BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;&gt; <BR>&gt;&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;&gt;<BR>&gt;&gt;<BR>&gt;&gt;<BR>&gt;&gt; --<BR>&gt;&gt; Matteo Meucci<BR>&gt;&gt; OWASP-Italy Chair, CISSP, CISA<BR>&gt;&gt; site: <A href="http://www.owasp.org/index.php/Italy"> http://www.owasp.org/index.php/Italy</A><BR>&gt;&gt; mail: <A href="mailto:matteo.meucci@owasp.org">matteo.meucci@owasp.org</A><BR>&gt;&gt; ml: <A href="http://lists.owasp.org/mailman/listinfo/owasp-italy">http://lists.owasp.org/mailman/listinfo/owasp-italy </A><BR>&gt;&gt;<BR>&gt;<BR>&gt;<BR>&gt; --<BR>&gt; Matteo Meucci<BR>&gt; OWASP-Italy Chair, CISSP, CISA<BR>&gt; site: <A href="http://www.owasp.org/index.php/Italy">http://www.owasp.org/index.php/Italy</A><BR>&gt; mail: <A href="mailto:matteo.meucci@owasp.org">matteo.meucci@owasp.org</A><BR>&gt; ml: <A href="http://lists.owasp.org/mailman/listinfo/owasp-italy">http://lists.owasp.org/mailman/listinfo/owasp-italy</A><BR>&gt; _______________________________________________ <BR>&gt; Owasp-testing mailing list<BR>&gt; <A href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</A><BR>&gt; <A href="http://lists.owasp.org/mailman/listinfo/owasp-testing">http://lists.owasp.org/mailman/listinfo/owasp-testing </A><BR><BR>_______________________________________________<BR>Owasp-testing mailing list<BR><A href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</A><BR><A href="http://lists.owasp.org/mailman/listinfo/owasp-testing"> http://lists.owasp.org/mailman/listinfo/owasp-testing</A><BR></BLOCKQUOTE></DIV><BR><BR clear="all"><BR>-- <BR>Eoin Keary OWASP - Ireland<BR><A href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html </A><BR><A href="http://www.owasp.org/index.php/OWASP_Testing_Project">http://www.owasp.org/index.php/OWASP_Testing_Project</A><BR><A href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project </A></BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>