<div>Good work James</div>
<div>Answers below:<br><br>&nbsp;</div>
<div><span class="gmail_quote">On 19/01/07, <b class="gmail_sendername">James Kist</b> &lt;<a href="mailto:kist@meridiansecurity.net">kist@meridiansecurity.net</a>&gt; wrote:</span></div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left"><span>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"><span>Here&#39;s what I found in the application-related chapters of the Information Systems Security Assessment Framework (ISSAF), by chapter:
</span></font></span></div>
<div dir="ltr" align="left"><span><font face="Arial"><font color="#0000ff"><font size="2"></font></font></font></span>&nbsp;</div>
<div dir="ltr" align="left"><span><font face="Arial"><font color="#0000ff"><font size="2">WEB APPLICATION SECURITY ASSESSMENT</font></font></font></span></div>
<div dir="ltr" align="left"><span></span><span><span><font face="Arial"><font color="#0000ff"><font size="2">T.6.7 Identifying Application Server<span> (such as tomcat or other middleware) - is this in the OWASP guide? I did not see it.
</span></font></font></font></span></span></div></span></div></div></blockquote>
<div>&nbsp;</div>
<div>We do have some in the application discovery section relating to nmap, url id.</div>
<div>&nbsp;</div>
<div><br>&nbsp;</div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left">
<div dir="ltr" align="left"><span><font face="Arial"><font color="#0000ff"><font size="2">T.6.9 Copy web site (Offline)&nbsp;<span>using tools such as</span>&nbsp;HTTTRACK, Black Widow, WebCopier, wget<span>. Not sure if this is explicitly mentioned in the OWASP guide.
</span></font></font></font></span></div></div></div></blockquote>
<div>&nbsp;</div>
<div>No we have none of this website copy stuff.</div>
<div><br>&nbsp;</div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left"><span class="q">
<div dir="ltr" align="left">&nbsp;</div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">WEB APPLICATION SECURITY ASSESSMENT (CONTINUE…) – SQL INJECTIONS</font></span></div></span>
<div dir="ltr" align="left"><span><font size="+0"><span></span><font face="Arial" color="#0000ff" size="2">V<span>ery thorough and with lots of examples. Probably deserves a reference.</span></font></font></span></div></div>
</div></blockquote>
<div>&nbsp;</div>
<p>Fair enough<br></p>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left"><span><font size="+0"><font face="Arial" color="#0000ff" size="2">
<div dir="ltr" align="left">SOURCE CODE AUDITING</div>
<div dir="ltr" align="left"></div></font></font></span><span><font face="Arial" color="#0000ff" size="2">Did not look at, as I think this relates more to the Code Review project. Agreed?</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div></div></blockquote>
<div>&nbsp;</div>
<div>Correct</div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">BINARY AUDITING</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"><span>Incomplete chapter - looks they could use a reference here to our guide :)</span></font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"><span></span></font></span>&nbsp;</div></div></blockquote>
<div>&nbsp;</div>
<div>yep, we need to do a bit on this also. in the code review guide.</div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">APPLICATION SECURITY EVALUATION CHECKLIST</font></span></div><span><font face="Arial" color="#0000ff" size="2">
<div dir="ltr" align="left"><span><span><font face="Arial" color="#0000ff" size="2">Has a pretty good evaluation checklist that covers technical and administrative controls (such as separation of duties, sufficient staff, NDAs for contract programmers, security in the SDLC, etc.)
</font></span></span></div></font></span></div>
<div><span><span></span></span><span><span><font size="+0"><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</font></span></span></div></blockquote>
<div>Not sure about this, maybe in the next release.</div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div dir="ltr" align="left"><font face="Arial" color="#0000ff" size="2">DATABASE SECURITY ASSESSMENT</font></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">Covers vendor-specific database permissions and security settings. Good stuff. Do we want to include in the OWASP guide? Or just&nbsp;a reference? 
</font></span></div></blockquote>
<div>&nbsp;</div>
<div>We have a small bit on&nbsp;Oracle/Listener security etc.</div>
<div>More shall be in code review guide (Mysql).</div>
<div>Not sure if we want to open the DB &quot;Can or worms&quot;?</div>
<div>&nbsp;</div>
<p><br>&nbsp;</p>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div lang="en-us" dir="ltr" align="left">
<hr>
<font face="Tahoma" size="2"><b>From:</b> Dinis Cruz [mailto:<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:dinis@ddplus.net" target="_blank">dinis@ddplus.net</a>] <br><b>Sent:</b> Thursday, January 18, 2007 7:16 PM
<br><b>To:</b> James Kist<br><b>Subject:</b> Re: [Owasp-testing] Comparison between our testing guide and the OSSTMM(Open Source Security Testing Methodology Manual)<br></font><br>&nbsp;</div>
<div></div>good point james, are you able to take a look?<br><br>Dinis 
<div><span class="e" id="q_11037fa4b04dfe4c_3"><br><br>
<div><span class="gmail_quote">On 1/19/07, <b class="gmail_sendername">James Kist</b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:kist@meridiansecurity.net" target="_blank">kist@meridiansecurity.net 
</a>&gt; wrote:</span> 
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">The Information Systems Security Assessment Framework (ISSAF) at <a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.oissg.org/content/view/71/71/" target="_blank">
http://www.oissg.org/content/view/71/71/</a>&nbsp;has the following relevant chapters:</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">WEB APPLICATION SECURITY ASSESSMENT</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">WEB APPLICATION SECURITY ASSESSMENT (CONTINUE…) – SQL INJECTIONS<br>SOURCE CODE AUDITING</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">BINARY AUDITING</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">APPLICATION SECURITY EVALUATION CHECKLIST</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">DATABASE SECURITY ASSESSMENT</font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">We should also look at this guide to see if we missed anything. </font></span></div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span><span><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left">
<hr>
</div>
<div dir="ltr" align="left"><font face="Tahoma" size="2"><b>From:</b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-testing-bounces@lists.owasp.org" target="_blank">owasp-testing-bounces@lists.owasp.org
</a> [mailto:<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-testing-bounces@lists.owasp.org" target="_blank">owasp-testing-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>Dinis Cruz<br><b>Sent:
</b> Thursday, January 18, 2007 6:15 PM<br><b>To:</b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a><br><b>Subject:</b>
 [Owasp-testing] Comparison between our testing guide and the OSSTMM(Open Source Security Testing Methodology Manual)<br></font><br>&nbsp;</div>
<div><span>
<div></div>It would be good to know (and to even include in our version of the Guide) what are the differences between OWASP Testing Guide and <a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.isecom.org/osstmm/" target="_blank">
http://www.isecom.org/osstmm/</a> <br><br>If there major section(s) in the OSSTMM that are not covered in the OWASP Testing Guide but are relevant to its audience, then we should add the respective references <br><br>Dinis Cruz
<br>Chief OWASP Evangelist, Are you a member yet?<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.owasp.org/" target="_blank">http://www.owasp.org</a> </span></div></div></blockquote></div><br>
<br clear="all"><br></span></div>-- 
<div><span class="e" id="q_11037fa4b04dfe4c_5"><br>Dinis Cruz<br>Chief OWASP Evangelist, Are you a member yet?<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.owasp.org/" target="_blank">http://www.owasp.org
</a> </span></div><br>_______________________________________________<br>Owasp-testing mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org
</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">http://lists.owasp.org/mailman/listinfo/owasp-testing</a><br><br><br></blockquote>
<br><br clear="all"><br>-- <br>Eoin Keary OWASP - Ireland<br><a href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html</a><br><a href="http://www.owasp.org/index.php/OWASP_Testing_Project">
http://www.owasp.org/index.php/OWASP_Testing_Project</a><br><a href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project</a>