Hi Paulo<br><br>No hesitation for such a cool project according to the list&#39;s feedback. <br>Let me start it when I become free from some workload.<br><br>The project is not tool-centric.<br><br>Tool centric for me means <br>
<br>- Hey this is Tool A - this is used for what A.<br><br>Tool centric approach is never intelligent.<br>
<br>I make the project like methodology-based or testing-based approach  like the Test Guide<br><br>- Hey here we go for web server testing - use the following tools - Tool A, Tool B .... Tool Z<br><br>We&#39;re clear enough that adding long lists of tools to the Testing Guide is inappropriate.<br>

<br>Useful tools are really really scattered across the web.<br><br>Again, this project is not mere list of tools.<br><br>This will contain the screenshots/demo movies contributed by community for the ease of <br>followers. <br>
<br>Well, there will be a notice/disclaimer like &quot;OWASP does not endorse any tool .... &quot;<br>Should I wait for the Committee decision ? <br><br><br><br><br>Regards<br><br><br><div class="gmail_quote">On Fri, Sep 11, 2009 at 12:10 AM, Paulo Coimbra <span dir="ltr">&lt;<a href="mailto:paulo.coimbra@owasp.org" target="_blank">paulo.coimbra@owasp.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">









<div link="blue" vlink="purple" lang="EN-GB">

<div>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);">Hello Projects Committee,</span></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);">Please see below this interesting thread. Does anybody want to step
in? Interesting arguments are being exchanged and the question of creating a
new project - OWASP Web Pentesting Tool Database Projects - is also being
discussed.  As my 2 cents, I’d say that usually any proposal to
create a new project is welcomed as long as it respects OWASP’s Principles<b>
<a href="http://www.owasp.org/index.php/About_OWASP" target="_blank">http://www.owasp.org/index.php/About_OWASP</a>.
</b></span></p>

<p><b><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></b></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);">Thanks,</span></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);">Paulo Coimbra,</span></p>

<p><span style="font-size: 11pt; color: rgb(31, 73, 125);" lang="PT"><a href="https://www.owasp.org/index.php/Main_Page" target="_blank"><span style="color: blue;" lang="EN-GB">OWASP Project Manager</span></a></span><span style="font-size: 11pt; color: rgb(31, 73, 125);"></span></p>



<p><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<div style="border-style: none none none solid; border-color: -moz-use-text-color -moz-use-text-color -moz-use-text-color blue; border-width: medium medium medium 1.5pt; padding: 0cm 0cm 0cm 4pt;">

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0cm 0cm;">

<p><b><span style="font-size: 10pt;" lang="EN-US">From:</span></b><span style="font-size: 10pt;" lang="EN-US"> Dave van Stein [mailto:<a href="mailto:dvstein@gmail.com" target="_blank">dvstein@gmail.com</a>] <br>
<b>Sent:</b> quinta-feira, 10 de Setembro de 2009 18:07<br>
<b>To:</b> Aung Khant<br>
<b>Cc:</b> Kevin Horvath; Paulo Coimbra; <a href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-testing] Add new tools</span></p>

</div>

</div><div><div></div><div>

<p> </p>

<p style="margin-bottom: 12pt;">Hi Aung,<br>
<br>
I think creating an overview of testing tools is a good idea and the idea
actually already has been proposed at the beginning of writing the Testing
Guide v3.<br>
The reasons that it has not been included are the following:<br>
<br>
1) OWASP wants to be as unbiased as possible and does not want to give the
impression that the guide (or OWASP itself for that matter) endorses any tool
or vendor<br>
2) creating, and especially maintaining, such a list would require a tremendous
amount of time and work and possibly many updates of the guide.<br>
<br>
The idea was also raised to create a separate database and make a reference to
it in the guide, but for some reason (i can&#39;t remember, but I&#39;m guessing
time/effort) that never happened.<br>
<br>
I think resurrecting the idea for a tooling database is a good idea, but I am
afraid that it will not have a long life ... <br>
<br>
Like I said getting and maintaining such a list would require a tremendous
amount of work and I think it might be difficult finding enough people getting
the job done.<br>
However, if you really want to give it a try, I&#39;d say write a project plan and
send it to OWASP (see <a href="http://www.owasp.org/index.php/How_to_Start_an_OWASP_Project" target="_blank">http://www.owasp.org/index.php/How_to_Start_an_OWASP_Project</a>
for procedure).<br>
If the project starts, count me in;  I am willing to spent a few hours a
week.<br>
<br>
regards, Dave <br>
 </p>

<div>

<p>2009/9/10 Aung Khant &lt;<a href="mailto:aungkhant@yehg.net" target="_blank">aungkhant@yehg.net</a>&gt;</p>

<p>Hi Kevin<br>
<br>
I can&#39;t agree with you more. <br>
<br>
I&#39;m in no doubt that tools makes our life a lot easier in some situations when <br>
manual testing is our default arsenal.<br>
<br>
As far as I&#39;m concerned, such a tool project rarely interests folks <br>
and they usually underestimate such. <br>
<br>
One example is notable certification - CEH, which people have been saying <br>
- a collection of tools and their usage.<br>
<br>
Without tools, penetration testing will take a lot longer.<br>
Without methodology, penetration testing won&#39;t be complete and perfect.<br>
<br>
Should we start - OWASP Web Pentesting Tool Database Projects?<br>
<br>
I think we should. There is no such Distro designed for thorough web testing. <br>
BackTrack lists just a few of web tools. Either does Samurai.<br>
A big challenge is that we can&#39;t stick to one platform. Some tools are for
Windows [Can&#39;t run with wine].<br>
Some for Linux. We have to use both. <br>
<br>
Some may point to me sites like <a href="http://www.security-database.com/" target="_blank">http://www.security-database.com/</a>.<br>
As far as I know, no single site is dedicated to app sec. </p>

<div>

<p style="margin-bottom: 12pt;"> </p>

<div>

<p>On Thu, Sep 10, 2009 at 9:45 PM, Kevin Horvath &lt;<a href="mailto:kevin.horvath@gmail.com" target="_blank">kevin.horvath@gmail.com</a>&gt;
wrote:</p>

<p>Hello Aung,<br>
<br>
The guide is about the methodology and some tools are given as an<br>
example of what can be used but in no means is meant to be all<br>
encompasing.  To have a list of tools that would be useful in app<br>
testing could be a seperate project in itself that would need to be<br>
constantly updated.  Although I believe having a tool listing would be<br>
a nice project to have for all aspects of app testing i dont think<br>
that it should be part of this guide (IMHO).</p>

<div>

<div>

<p><br>
On Thu, Sep 10, 2009 at 11:06 AM, Aung Khant &lt;<a href="mailto:aungkhant@yehg.net" target="_blank">aungkhant@yehg.net</a>&gt;
wrote:<br>
&gt; Hi Mat and List<br>
&gt;<br>
&gt; New web app test tools are developed from time to time.<br>
&gt; Is it good to add new tools to the Guide wiki?<br>
&gt;<br>
&gt; Or does it  introduce over redundancy ?<br>
&gt;<br>
&gt; --<br>
&gt; Best Regards<br>
&gt; YGN Ethical Hacker Group<br>
&gt; <a href="http://yehg.net" target="_blank">http://yehg.net</a><br>
&gt;</p>

</div>

</div>

<p>&gt; _______________________________________________<br>
&gt; Owasp-testing mailing list<br>
&gt; <a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
&gt;<br>
&gt;</p>

</div>

<p><br>
<br clear="all">
</p>

</div>

<p>-- </p>

<div>

<div>

<p>Best Regards<br>
YGN Ethical Hacker Group<br>
<a href="http://yehg.net" target="_blank">http://yehg.net</a></p>

</div>

</div>

<p style="margin-bottom: 12pt;"><br>
_______________________________________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a></p>

</div>

<p> </p>

</div></div></div>

</div>

</div>


</blockquote></div><br><br clear="all"><br>-- <br>Best Regards<br>YGN Ethical Hacker Group<br><a href="http://yehg.net" target="_blank">http://yehg.net</a><br>