<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.5730.11" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=781111118-17012007><FONT face=Arial 
color=#0000ff size=2>I'm good with it.</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> eoinkeary@gmail.com 
[mailto:eoinkeary@gmail.com] <B>On Behalf Of </B>Eoin<BR><B>Sent:</B> Wednesday, 
January 17, 2007 12:59 PM<BR><B>To:</B> James Kist<BR><B>Cc:</B> Andrew van der 
Stock; owasp-testing@lists.owasp.org<BR><B>Subject:</B> Re: [Owasp-testing] 
[Owasp-codereview] Fwd: Code review Structure<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV>Best practice - &gt; yes.</DIV>
<DIV>Vulnerability sections - &gt; No, each vulnerability has language specific 
sub section for a language example. Some languages dont have a perticular 
vulnerability.</DIV>
<DIV>Design review -&gt; Yes (a small bit if we have to).</DIV>
<DIV>&nbsp;</DIV>
<DIV>So we have the "Reviewing Code for...." (Akin to the&nbsp;testing guide 
which is "Testing for .....")</DIV>
<DIV>&nbsp;</DIV>
<DIV>This shall have sections of code examples in different languages.</DIV>
<DIV>&nbsp;</DIV>
<DIV>yep? No?</DIV>
<DIV>&nbsp;</DIV>
<DIV>-ek</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV><BR><BR>&nbsp;</DIV>
<DIV><SPAN class=gmail_quote>On 17/01/07, <B class=gmail_sendername>James 
Kist</B> &lt;<A 
href="mailto:kist@meridiansecurity.net">kist@meridiansecurity.net</A>&gt; 
wrote:</SPAN> 
<BLOCKQUOTE class=gmail_quote 
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
  <DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff size=2>So, are we 
  going to have the language-specific chapters ?</FONT></SPAN></DIV><BR>
  <DIV lang=en-us dir=ltr align=left>
  <HR>
  <FONT face=Tahoma size=2><SPAN class=q><B>From:</B> <A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:owasp-testing-bounces@lists.owasp.org" 
  target=_blank>owasp-testing-bounces@lists.owasp.org </A>[mailto:<A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:owasp-testing-bounces@lists.owasp.org" 
  target=_blank>owasp-testing-bounces@lists.owasp.org</A>] <B>On Behalf Of 
  </B>Eoin<BR></SPAN><B>Sent: </B>Wednesday, January 17, 2007 12:29 
  PM<BR><B>To:</B> Andrew van der Stock; <A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:owasp-testing@lists.owasp.org" 
  target=_blank>owasp-testing@lists.owasp.org </A><BR><B>Subject:</B> Re: 
  [Owasp-testing] [Owasp-codereview] Fwd: Code review 
  Structure<BR></FONT><BR>&nbsp;</DIV>
  <DIV><SPAN class=e id=q_110312e6f666a340_3>
  <DIV></DIV>
  <DIV>Agreed, context is king. A vuln may be high on an external system that 
  does not require authentication but&nbsp; if it was found in a secure LAN on 
  an internal system with one user it may not be such a big deal.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>There is a section on context in the introduction which could be made 
  more use of but it explains this idea.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Relating to best practice structure I like the structure James Kist has 
  suggested. It is important to explain why it is good practice and giving an 
  example why?</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Eoin</DIV>
  <DIV><BR><BR>&nbsp;</DIV>
  <DIV><SPAN class=gmail_quote>On 17/01/07, <B class=gmail_sendername>Andrew van 
  der Stock</B> &lt;<A onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:vanderaj@owasp.org" target=_blank>vanderaj@owasp.org </A>&gt; 
  wrote:</SPAN> 
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
    <DIV><FONT face="Verdana, Helvetica, Arial"><SPAN 
    style="FONT-SIZE: 12px">This is actually an important question which needs 
    answering.<BR><BR>Personally, I code review in terms of business function as 
    this is the easiest way to demonstrate your value to your client. For 
    example, if I tell them that their LDAP server connection is unencrypted, so 
    what? I instead look at the use cases from the business requirements and 
    ensure that they are properly demonstrated in the code, and if as a side bar 
    to that process, I discover weaknesses, I will drop them in, so that: 
    <BR><BR></SPAN></FONT>
    <UL>
      <LI><FONT face="Verdana, Helvetica, Arial"><SPAN 
      style="FONT-SIZE: 12px">The user login process may allow attackers to view 
      all credentials and thus log in as anyone they want, including the LDAP 
      manager. This destroys any credibility of logs, transactions and may allow 
      widespread destruction or alteration of data. 
    <BR></SPAN></FONT></LI></UL><FONT face="Verdana, Helvetica, Arial"><SPAN 
    style="FONT-SIZE: 12px"><BR>Now the business has a reason to fix my finding 
    as it's related to a business process and asset they care about. 
    <BR><BR>This is why I'm not convinced its necessary to have language 
    specific chapters. Most of the information in those chapters applies will 
    apply to all languages / frameworks. You can always jump over examples 
    you're not interested in, or you can learn from the other language's issues 
    to avoid them in your own. <BR><BR>Thanks,<BR>Andrew<SPAN><BR><BR><BR>On 
    1/12/07 10:25 AM, "James Kist" &lt;<A 
    onclick="return top.js.OpenExtLink(window,event,this)" 
    href="mailto:kist@meridiansecurity.net" 
    target=_blank>kist@meridiansecurity.net </A>&gt; 
    wrote:<BR><BR></SPAN></SPAN></FONT>
    <BLOCKQUOTE><SPAN><SPAN style="FONT-SIZE: 12px"><FONT color=#0000ff><FONT 
      face=Arial>What is the desired structure for the best practices section? 
      How about something like this:<BR></FONT></FONT><FONT 
      face="Verdana, Helvetica, Arial"><BR></FONT><FONT color=#0000ff><FONT 
      face=Arial>Vulnerability (with a link to the section that describes the 
      vulnerability)<BR>Best practice 1 - Description (includes how and to what 
      level the vulnerability is addressed by this best practice) <BR>Best 
      practice 1 - Code example (if applicable)<BR>Best practice 2 - 
      Description<BR>Best practice 2 - Code example (if 
      applicable)<BR></FONT></FONT><FONT 
      face="Verdana, Helvetica, Arial"><BR></FONT><FONT color=#0000ff><FONT 
      face=Arial>etc.<BR></FONT></FONT><FONT 
      face="Verdana, Helvetica, Arial"><BR>&nbsp;<BR><BR>
      <HR align=center width="100%" SIZE=3>
      </FONT><FONT face=Tahoma><B>From:</B> <A 
      onclick="return top.js.OpenExtLink(window,event,this)" 
      href="mailto:owasp-testing-bounces@lists.owasp.org" 
      target=_blank>owasp-testing-bounces@lists.owasp.org</A> [<A 
      onclick="return top.js.OpenExtLink(window,event,this)" 
      href="mailto:owasp-testing-bounces@lists.owasp.org]" target=_blank> 
      mailto:owasp-testing-bounces@lists.owasp.org]</A> <B>On Behalf Of 
      </B>Eoin<BR><B>Sent:</B> Thursday, January 11, 2007 10:45 AM<BR><B>To:</B> 
      Mark Roxberry<BR><B>Cc:</B> <A 
      onclick="return top.js.OpenExtLink(window,event,this)" 
      href="mailto:Owasp-codereview@lists.owasp.org" 
      target=_blank>Owasp-codereview@lists.owasp.org</A>; <A 
      onclick="return top.js.OpenExtLink(window,event,this)" 
      href="mailto:owasp-testing@lists.owasp.org" 
      target=_blank>owasp-testing@lists.owasp.org</A><BR><B>Subject:</B> Re: 
      [Owasp-testing] Fwd: Code review Structure <BR></FONT><FONT 
      face="Verdana, Helvetica, Arial"><BR>Hi Mark,<BR>i believe there is a 
      design section but it has not been touched yet:<BR>&nbsp;<BR><A 
      onclick="return top.js.OpenExtLink(window,event,this)" 
      href="http://www.owasp.org/index.php/OWASP_Code_Review_Guide_Table_of_Contents" 
      target=_blank>http://www.owasp.org/index.php/OWASP_Code_Review_Guide_Table_of_Contents</A><BR>&nbsp;<BR>Designing 
      for security (section).<BR>&nbsp;<BR>You you consider putting a .NET 
      design section within this.<BR>&nbsp;<BR>Authoring the .NET best practice 
      section would be great!! I'll put your name beside it. 
      <BR>thanks,<BR>Eoin<BR><BR>&nbsp;<BR>On 11/01/07, <B>Mark Roxberry</B> 
      &lt;<A onclick="return top.js.OpenExtLink(window,event,this)" 
      href="mailto:me@markroxberry.net" 
      target=_blank>me@markroxberry.net</A>&gt; wrote: <BR></FONT></SPAN></SPAN>
      <BLOCKQUOTE><SPAN style="FONT-SIZE: 12px"><FONT 
        face="Verdana, Helvetica, Arial"><SPAN><BR>&nbsp;<BR>&nbsp;<BR>I'll do 
        .NET Code Review Best 
        Practices.<BR>&nbsp;<BR>&nbsp;<BR>&nbsp;<BR></SPAN>Can I include Design 
        Guidance as a section? &nbsp;Or maybe we need to &nbsp;consider Secure 
        Application Design for an OWASP project (or do we have plans &nbsp;for 
        this already)? &nbsp;An example, in <A 
        onclick="return top.js.OpenExtLink(window,event,this)" 
        href="http://asp.net/" target=_blank>ASP.NET</A> <A 
        onclick="return top.js.OpenExtLink(window,event,this)" 
        href="http://asp.net/" target=_blank>&lt;http://asp.net/&gt; 
        </A>&nbsp;2.0, when do we recommend using the &nbsp;MembershipProviders 
        and integrating with .NET framework before rolling your &nbsp;own access 
        control system. &nbsp;Design guidance would outline the &nbsp;scenarios 
        for each security design. &nbsp;What do you think? &nbsp; 
        <SPAN><BR>&nbsp;<BR>&nbsp;<BR>&nbsp;<BR>I'll post a topic list by 
        tomorrow.<BR>&nbsp;<BR><BR>Regards,<BR>&nbsp;<BR>&nbsp;<BR>&nbsp;<BR>Mark<BR>&nbsp;<BR></SPAN></FONT></SPAN>
        <DIV><SPAN>
        <BLOCKQUOTE><SPAN style="FONT-SIZE: 12px"><FONT 
          face="Verdana, Helvetica, Arial"><BR>&nbsp;<BR>----- Original Message 
          ----- <BR>&nbsp;<BR><B>From:</B> Eoin <A 
          onclick="return top.js.OpenExtLink(window,event,this)" 
          href="mailto:eoin.keary@owasp.org" 
          target=_blank>&lt;mailto:eoin.keary@owasp.org&gt;</A> 
          &nbsp;<BR>&nbsp;<BR><B>To:</B> <A 
          onclick="return top.js.OpenExtLink(window,event,this)" 
          href="mailto:owasp-testing@lists.owasp.org" 
          target=_blank>owasp-testing@lists.owasp.org</A> &nbsp;<A 
          onclick="return top.js.OpenExtLink(window,event,this)" 
          href="mailto:owasp-testing@lists.owasp.org" target=_blank> 
          &lt;mailto:owasp-testing@lists.owasp.org&gt;</A> ; <A 
          onclick="return top.js.OpenExtLink(window,event,this)" 
          href="mailto:Owasp-codereview@lists.owasp.org" 
          target=_blank>Owasp-codereview@lists.owasp.org</A> 
          <BR>&nbsp;<BR><B>Sent:</B> Tuesday, January 09, 2007 10:47 
          &nbsp;AM<BR>&nbsp;<BR><B>Subject:</B> [Owasp-testing] Fwd: Code 
          &nbsp;review 
          Structure<BR>&nbsp;<BR><BR>&nbsp;<BR>&nbsp;<BR>Hi,<BR>&nbsp;<BR>Below 
          is the current structure of the code review guide.<BR>&nbsp;<BR><BR>If 
          anyone would like to take on a section (improve a section/add 
          &nbsp;more info) please let me know and ill pen you in for it. 
          <BR>&nbsp;<BR>thanks,<BR>&nbsp;<BR>Eoin<BR>&nbsp;<BR>&nbsp;<BR>&nbsp;<BR>&nbsp;<BR><BR></FONT><FONT 
          face=Arial>Methodology</FONT><FONT face="Verdana, Helvetica, Arial"> 
          &nbsp;<BR></FONT></SPAN>
          <UL><SPAN style="FONT-SIZE: 12px"><FONT color=#0000ff><FONT 
            face=Arial><U>Introduction</U></FONT></FONT><FONT face=Arial> 
            </FONT><FONT face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Steps and 
            &nbsp;Roles</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Code Review 
            &nbsp;Processes</U></FONT></FONT><FONT face=Arial> <BR></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            face=Arial>Design review <BR><FONT color=#0000ff><U>Designing for 
            security</U></FONT> <BR></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            face=Arial>Examples by Vulnerability</FONT><FONT 
            face="Verdana, Helvetica, Arial"> 
            <BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR></FONT></SPAN></UL><SPAN 
          style="FONT-SIZE: 12px"><FONT 
          face="Verdana, Helvetica, Arial"><BR></FONT></SPAN>
          <UL><SPAN style="FONT-SIZE: 12px"><FONT color=#0000ff><FONT 
            face=Arial><U>Buffer Overruns and 
            &nbsp;Overflows</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>OS 
            Injection</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>SQL 
            Injection</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Data 
            &nbsp;Validation</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Error 
            Handling</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Logging issues</U></FONT> 
            </FONT><FONT face=Arial></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>The Secure Code 
            &nbsp;Environment</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Transaction 
            &nbsp;Analysis</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT 
            face=Arial><U>Authorization</U></FONT></FONT><FONT face=Arial> 
            </FONT><FONT face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT 
            face=Arial><U>Authentication</U></FONT></FONT><FONT face=Arial> 
            </FONT><FONT face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Session 
            &nbsp;Integrity</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Cross Site Request &nbsp;Forgery 
            </U></FONT></FONT><FONT face=Arial></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT 
            face=Arial><U>Cryptography</U></FONT></FONT><FONT face=Arial> 
            </FONT><FONT face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Dangerous HTTP 
            &nbsp;Methods</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Race 
            &nbsp;Conditions</U></FONT></FONT><FONT face=Arial> <BR></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR></FONT></SPAN></UL><SPAN 
          style="FONT-SIZE: 12px"><FONT 
          face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
          face=Arial>Language specific best practice </FONT><FONT 
          face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
          face=Arial>Java</FONT><FONT face="Verdana, Helvetica, Arial"> 
          &nbsp;<BR></FONT></SPAN>
          <UL><SPAN style="FONT-SIZE: 12px"><FONT color=#0000ff><FONT 
            face=Arial><U>Inner &nbsp;classes</U></FONT></FONT><FONT face=Arial> 
            </FONT><FONT face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Class 
            &nbsp;comparison</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Cloneable 
            &nbsp;classes</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Serializable 
            &nbsp;classes</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Package scope and 
            &nbsp;encapsulation</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Mutable &nbsp;objects</U></FONT> 
            </FONT><FONT face=Arial></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Private methods &amp; 
            &nbsp;circumvention</U></FONT></FONT><FONT face=Arial> 
            <BR></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR></FONT></SPAN></UL><SPAN 
          style="FONT-SIZE: 12px"><FONT 
          face="Verdana, Helvetica, Arial"><BR>&nbsp;<BR><BR></FONT><FONT 
          face=Arial>.NET</FONT><FONT face="Verdana, Helvetica, Arial"> 
          &nbsp;<BR><BR></FONT><FONT face=Arial>PHP</FONT><FONT 
          face="Verdana, Helvetica, Arial"> &nbsp;<BR><BR></FONT><FONT 
          face=Arial>Automating Code Reviews</FONT><FONT 
          face="Verdana, Helvetica, Arial"> &nbsp;<BR></FONT></SPAN>
          <UL><SPAN style="FONT-SIZE: 12px"><FONT color=#0000ff><FONT 
            face=Arial><U>Preface </U></FONT></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Reasons for using automated 
            &nbsp;tools </U></FONT></FONT><FONT face=Arial></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Education and cultural 
            &nbsp;change</U></FONT></FONT><FONT face=Arial> </FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR></FONT><FONT 
            color=#0000ff><FONT face=Arial><U>Tool Deployment 
            &nbsp;Model</U></FONT></FONT><FONT face=Arial> <BR></FONT><FONT 
            face="Verdana, Helvetica, Arial"><BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR>&nbsp;<BR><BR></FONT></SPAN></UL><SPAN 
          style="FONT-SIZE: 12px"><FONT 
          face="Verdana, Helvetica, Arial"><BR>&nbsp;<BR><BR></FONT><FONT 
          color=#0000ff><FONT face=Arial><U>References</U></FONT></FONT><FONT 
          face="Verdana, Helvetica, Arial"> 
          &nbsp;<BR><BR>&nbsp;<BR></FONT></SPAN></BLOCKQUOTE></SPAN></DIV></BLOCKQUOTE></BLOCKQUOTE><SPAN 
    style="FONT-SIZE: 12px"><FONT 
    face="Verdana, Helvetica, Arial"><BR></FONT></SPAN></DIV></BLOCKQUOTE></DIV><BR><BR 
  clear=all><BR>-- <BR>Eoin Keary OWASP - Ireland<BR><A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://www.owasp.org/local/ireland.html" 
  target=_blank>http://www.owasp.org/local/ireland.html</A><BR><A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://www.owasp.org/index.php/OWASP_Testing_Project" 
  target=_blank>http://www.owasp.org/index.php/OWASP_Testing_Project </A><BR><A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://www.owasp.org/index.php/OWASP_Code_Review_Project" 
  target=_blank>http://www.owasp.org/index.php/OWASP_Code_Review_Project 
  </A></SPAN></DIV></DIV><BR>_______________________________________________<BR>Owasp-testing 
  mailing list<BR><A onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org 
  </A><BR><A onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://lists.owasp.org/mailman/listinfo/owasp-testing" 
  target=_blank>http://lists.owasp.org/mailman/listinfo/owasp-testing</A><BR><BR><BR></BLOCKQUOTE></DIV><BR><BR 
clear=all><BR>-- <BR>Eoin Keary OWASP - Ireland<BR><A 
href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html</A><BR><A 
href="http://www.owasp.org/index.php/OWASP_Testing_Project">http://www.owasp.org/index.php/OWASP_Testing_Project</A><BR><A 
href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project</A> 
</BODY></HTML>