<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; ">Agreed, this is the common approached used by most of the clients we work with, especially the banking sector.<DIV><BR class="khtml-block-placeholder"></DIV><DIV>Matteo i know you don't want to change it and get a draft out, but we need to be aware that many will follow our guide as the gospel on app testing and i'd rather we delay some bits so that newcomers to our industry have a good solid footing and not the one i had when this industry was started (a.k.a make up what you want, there isn't anyone to disagree)</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>What do you think? should we quickly agree on something less complex and get it written up (i can do this as im currently on holiday and have less commitments than usual)</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV><BR><DIV><DIV>On 18 Dec 2006, at 19:01, Eoin wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"><DIV>Yep agreed.</DIV> <DIV>One thing I've always hated about assigning risk is to use these formulas which at times do not take context into account, if the vulnerability is internal facing only, is it exposed to unauthenticated users or authenticated only. </DIV> <DIV>There must be a rule of thumb relating to assigning how much of a risk a particular vulnerability is but avoiding complex academic formulas.</DIV> <DIV> </DIV> <DIV>To me Risk is as simple as defining how damaging a vulnerability exploit may be if exploited and how easy/accessible it is to commit the exploit.</DIV> <DIV>Also taking into account if the vulnerability is externally facing or is it internal on a "secure" LAN segment?</DIV> <DIV> </DIV> <DIV>-ek</DIV> <DIV> </DIV> <DIV> </DIV> <DIV><BR><BR> </DIV> <DIV><SPAN class="gmail_quote">On 17/12/06, <B class="gmail_sendername">Daniel Cuthbert</B> &lt;<A href="mailto:daniel.cuthbert@owasp.org">daniel.cuthbert@owasp.org</A>&gt; wrote:</SPAN> <BLOCKQUOTE class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">I've spent today looking at what has been written so far and I feel<BR>we are venturing into some dangerous territory with what we are <BR>suggesting.<BR>We need a easy to use, and understand, method of defining risk and<BR>the one we have at the moment will cause more confusion than good.<BR><BR><A href="https://www.owasp.org/index.php/How_to_value_the_real_risk_AoC"> https://www.owasp.org/index.php/How_to_value_the_real_risk_AoC</A><BR><BR>The section on Quantitative Risk Calculation seems to be heavily<BR>based upon some complex mathematical formula, but does anyone<BR>honestly know how to do this? <BR><BR>I've shown this to a number of pentesters and colleagues and they all<BR>agree that they would not use the above approach as it's overly<BR>complicated.<BR><BR>Thoughts?<BR><BR><BR>_______________________________________________ <BR>Owasp-testing mailing list<BR><A href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</A><BR><A href="http://lists.owasp.org/mailman/listinfo/owasp-testing">http://lists.owasp.org/mailman/listinfo/owasp-testing </A><BR></BLOCKQUOTE></DIV><BR><BR clear="all"><BR>-- <BR>Eoin Keary OWASP - Ireland<BR><A href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html</A><BR><A href="http://www.owasp.org/index.php/OWASP_Testing_Project"> http://www.owasp.org/index.php/OWASP_Testing_Project</A><BR><A href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project</A></BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>