<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#ffffff">
    Hi Nuno,<br>
    thank you for your email.<br>
    <br>
    The stable version of the Testing Guide is v3 and widely adopted
    worldwide.<br>
    As you can read from the email below, we are at the starting phase
    of the project v4.<br>
    I've presented a draft of the testing checklist at the last Summit,
    it will be available soon.<br>
    I'd like to finish the first 2 steps of the roadmap, then starting
    with the project.<br>
    Please keep in touch on the OWASP Testing guide ml: as for version 3
    you can follow the draft pages of project on the wiki.<br>
    <br>
    Thanks,<br>
    Best regards,<br>
    Mat<br>
    <br>
    Il 25/02/2011 11:10, Nuno Teodoro ha scritto:
    <blockquote
      cite="mid:AANLkTimu8TC9qVN2E23By5U-p8B-sPVcpGwtOZu9eRpi@mail.gmail.com"
      type="cite">Hi all, I was wondering if is there any draft version
      of testing guide V4 including OWASP testing checkList.
      <div><br>
      </div>
      <div>I am aware significant changes need to be made and I would
        like to read any draft version and check it's status as I am
        trying my company to assume owasp's testing guide as the de
        facto methodology for web app testing.</div>
      <div><br>
      </div>
      <div>Best regards<br>
        <br>
        <div class="gmail_quote">2011/1/28 Matteo Meucci <span
            dir="ltr">&lt;<a moz-do-not-send="true"
              href="mailto:matteo.meucci@gmail.com">matteo.meucci@gmail.com</a>&gt;</span><br>
          <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt
            0.8ex; border-left: 1px solid rgb(204, 204, 204);
            padding-left: 1ex;">
            I Jim,<br>
            you are correct, we are in late.<br>
            <br>
            This is the roadmap of v4:<br>
            - Create a new comprehensive list of all the possible
            vulnerabilities.<br>
            - Review all the control numbers to adhere to the OWASP
            Common numbering,<br>
            - Review all the sections in v3,<br>
            - Create a more readable guide, eliminating some sections
            that are not<br>
            really useful,<br>
            - Insert new testing techniques: HTTP Verb tampering, HTTP
            Parameter<br>
            Pollutions, etc.,<br>
            - Rationalize some sections as Session Management Testing,<br>
            - Debate if create a new section: Client side security and
            Firefox<br>
            extensions testing.<br>
            <br>
            I think that step I is really important because v3 is a
            stable<br>
            version, really wide adopted because it describes a
            comprehensive<br>
            methodology based of a set of vulnerability list:<br>
            <a moz-do-not-send="true"
              href="http://www.owasp.org/index.php/Testing_Checklist"
              target="_blank">http://www.owasp.org/index.php/Testing_Checklist</a><br>
            <br>
            We need to update this list before start with a new version.<br>
            Then I see another problem: we need that all the OWASP
            Guides (Top10,<br>
            DevGuide, CodeRG, TestingG) talk the same language.<br>
            For example: OWASP Top10 2010 talks about "Failure to
            Restrict URL<br>
            Access" and we do not have that in the TG list.<br>
            <br>
            So I think we need a common basis for all the guides and
            with Anurag<br>
            and Eoin we started the OWASP Common Vulnerability List.<br>
            <a moz-do-not-send="true"
              href="http://www.owasp.org/index.php/OWASP_Common_Vulnerability_List"
              target="_blank">http://www.owasp.org/index.php/OWASP_Common_Vulnerability_List</a><br>
            We are debating the list for 3 months, so now it's time to
            close the<br>
            project and public the first version.<br>
            I think OWASP Summit is the right place for that.<br>
            <br>
            Summarizing, at the OWASP Summit:<br>
            - &nbsp;We will have to define the first list of OWASP Common
            Vulnerability<br>
            list, and decide how to manage it for the future (a board
            could<br>
            receive all the new request of new type of vuln, then we can
            process<br>
            it, publish it and decide wich guide will implement it)<br>
            - Once defined that we can decide how to go on with the new
            issues of<br>
            the Testing Guide and plan the new version.<br>
            <br>
            So please folks, put your name to the WS participants list
            and let discuss it:<br>
            - <a moz-do-not-send="true"
href="http://www.owasp.org/index.php/Summit_2011_Working_Sessions/Session052"
              target="_blank">http://www.owasp.org/index.php/Summit_2011_Working_Sessions/Session052</a><br>
            - OWASP Common vuln list WS will opening asap<br>
            <br>
            Thanks,<br>
            Mat<br>
            <br>
            --<br>
            OWASP Testing Guide lead<br>
            <a moz-do-not-send="true"
              href="http://www.owasp.org/index.php/Testing_Guide"
              target="_blank">http://www.owasp.org/index.php/Testing_Guide</a><br>
            <br>
            <br>
            <br>
            <br>
            On Fri, Jan 28, 2011 at 12:49 AM, Jim Manico &lt;<a
              moz-do-not-send="true" href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt;
            wrote:<br>
            &gt; Hello Testers! :)<br>
            &gt;<br>
            &gt; I was just looking at:<br>
            &gt;<br>
            &gt; <a moz-do-not-send="true"
              href="http://www.owasp.org/index.php/OWASP_Testing_Project"
              target="_blank">http://www.owasp.org/index.php/OWASP_Testing_Project</a><br>
            &gt;<br>
            &gt; And noticed the front page says "next version ready in
            January 2011"<br>
            &gt;<br>
            &gt; May I ask what is the status of the next release?<br>
            &gt;<br>
            &gt; ALOHA,<br>
            &gt; Jim Manico<br>
            &gt; _______________________________________________<br>
            &gt; Owasp-testing mailing list<br>
            &gt; <a moz-do-not-send="true"
              href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
            &gt; <a moz-do-not-send="true"
              href="https://lists.owasp.org/mailman/listinfo/owasp-testing"
              target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
            &gt;<br>
            _______________________________________________<br>
            Owasp-testing mailing list<br>
            <a moz-do-not-send="true"
              href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
            <a moz-do-not-send="true"
              href="https://lists.owasp.org/mailman/listinfo/owasp-testing"
              target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
          </blockquote>
        </div>
        <br>
      </div>
    </blockquote>
  </body>
</html>