<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.hoenzb
        {mso-style-name:hoenzb;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:1931963900;
        mso-list-template-ids:857638018;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-CA link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>X-FRAME-OPTIONS only provides a solution for modern/recent browser versions. It also assumes that all the proxies, devices, browsers and plugins that touch the traffic along the way are friendly and don’t drop the header.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>We should be careful in how we’re positioning use of X-FRAME-OPTIONS, Content Security Policy (CSP), and the Origin header as at various points in their lives their usefulness has overlapped greatly.<o:p></o:p></p><p class=MsoNormal>XFO:<o:p></o:p></p><p class=MsoNormal>https://developer.mozilla.org/en-US/docs/The_X-FRAME-OPTIONS_response_header<o:p></o:p></p><p class=MsoNormal>http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>CSP:<o:p></o:p></p><p class=MsoNormal>http://people.mozilla.com/~bsterne/content-security-policy/<o:p></o:p></p><p class=MsoNormal>https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Origin header:<o:p></o:p></p><p class=MsoNormal>http://people.mozilla.com/~bsterne/content-security-policy/origin-header-proposal.html<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>While X-FRAME-OPTIONS should be part of the solution we should probably also recommend use of some type of JS based solution in conjunction.<o:p></o:p></p><p class=MsoNormal><a href="http://seclab.stanford.edu/websec/framebusting/framebust.pdf">http://seclab.stanford.edu/websec/framebusting/framebust.pdf</a> for more info.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>On the topic of CAPTCHA testing I’d provide the following references for the consideration of whoever puts it together:<o:p></o:p></p><p class=MsoNormal>http://www.idontplaydarts.com/2012/01/extending-burp-suite-to-solve-recaptcha/<o:p></o:p></p><p class=MsoNormal>http://www.bonsai-sec.com/blog/index.php/breaking-weak-captcha-in-26-lines-of-code/ -> This one really hit home with me, I’ve used similar code and a batch script wrapper to loop through images and see if I can OCR them. It’s also pretty simple to apply B&W filters or contrast modifications using simple code and the suggested libraries.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Rick<span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-testing-bounces@lists.owasp.org [mailto:owasp-testing-bounces@lists.owasp.org] <b>On Behalf Of </b>Lode Vanstechelman<br><b>Sent:</b> August 31, 2012 3:39 AM<br><b>To:</b> owasp-testing@lists.owasp.org<br><b>Subject:</b> Re: [Owasp-testing] Testing Guide V4 - Start up<o:p></o:p></span></p></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hello everyone,<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>When looking at the ToC, I see that "Logout function not properly implemented" is mentioned under "Authentication Testing", but shouldn't this be mentioned under "Session Management Testing" since this vulnerability is about the session which is not properly destroyed on the server?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Then I would also propose to add the following 2 vulnerabilities/test methods:<o:p></o:p></p></div><div><ol start=1 type=1><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>Clickjacking a.k.a. "Frameable response": I would propose to add this in section "Configuration and Deploy Management Testing" since this vulnerability can be solved by adding the header "X-FRAME-OPTIONS" to the responses.<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>CAPTCHA's: what are good ones and how can they be broken. I think this should be added in "Authentication testing"<o:p></o:p></li></ol><div><p class=MsoNormal>Regards,<o:p></o:p></p></div><div><p class=MsoNormal>Lode<o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>On 30 August 2012 23:20, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<o:p></o:p></p><p class=MsoNormal>I love you all.<span style='color:#888888'><br><br><span class=hoenzb>- Jim Manico</span><br><span class=hoenzb>OWASP Volunteer</span></span><o:p></o:p></p><div><div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><p class=MsoNormal>Hi mat,<br><br>Please consider also me!<br><br>Ciao,<br>s.<br>-----Original Message-----<br>From: Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a>><br>Sender: <a href="mailto:owasp-testing-bounces@lists.owasp.org" target="_blank">owasp-testing-bounces@lists.owasp.org</a><br>Date: Thu, 30 Aug 2012 22:18:07<br>To: Ismael Rocha<<a href="mailto:ismaelrocha.projetos@gmail.com" target="_blank">ismaelrocha.projetos@gmail.com</a>><br>Cc: <<a href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a>><br>Subject: Re: [Owasp-testing] Testing Guide V4 - Start up<br><br>Hi Ismael,<br>that's great!<br><br>ToC is a DRAFT now. We are at phase (1), we have to brainstorm now.<br><br>Thanks,<br>Mat<br><br><br>On 08/30/2012 07:38 PM, Ismael Rocha wrote:<o:p></o:p></p><p class=MsoNormal>Hello Matteo.<br>  I made a cross reference between Top Ten and Testing Guide for the<br>Cheatsheet project Top Ten.<br>  <a href="https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet" target="_blank">https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet</a><br>  About the Table of Contents, is it the definitive one and we need only<br>to assign the contribuitors or we are going to discuss the table of<br>contents as well?<br>  Regards.<br>  Ismael Gonšalves<br><br>On Thu, Aug 30, 2012 at 12:40 PM, Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a><br><mailto:<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a>>> wrote:<br><br>     Hi all Testing Guide contributors.<br><br>     Testing Guide v4 has been approved as Projects Reboot 2012!<br>     <a href="https://www.owasp.org/index.php/Projects_Reboot_2012" target="_blank">https://www.owasp.org/index.php/Projects_Reboot_2012</a><br><br>     Here is the list of contributors I've collected:<br><br>     Pavol Luptak<br>     Marco Morana<br>     Giorgio Fedon<br>     Stefano Di Paola<br>     Gianrico Ingrosso<br>     Giuseppe BonfÓ<br>     Roberto Suggi Liverani<br>     Robert Smith<br>     Andrew Muller<br>     Robert Winkel<br>     tripurari rai<br>     Thomas Ryan<br>     tim bertels<br>     Cecil Su<br>     Aung KhAnt<br>     Norbert Szetei<br>     michael.boman<br>     Wagner Elias<br>     Kevin Horvat<br>     Juan Galiana Lara<br>     Kenan Gursoy<br>     Jason Flood<br>     Javier Marcos de Prado<br>     Sumit Siddharth<br>     Mike Hryekewicz<br>     psiinon<br>     Ray Schippers<br>     Raul Siles<br>     Jayanta Karmakar<br>     Brad Causey<br>     Vicente Aguilera<br>     Ismael Gonšalves<br><br>     Reviewers team:<br><br>     Paolo Perego<br>     Daniel Cuthbert<br>     Matthew Churcher<br>     Lode Vanstechelman<br>     Sebastien Gioria<br><br><br>     Introduction and Project purpose for v4:<br>     ============================ =============<br>     The OWASP Testing Guide v3 includes a "best practice" penetration<br>     testing framework which users can implement in their own organizations<br>     and a "low level" penetration testing guide that describes techniques<br>     for testing most common web application and web service security<br>     issues. Nowadays the Testing Guide has become the standard to perform<br>     a Web Application Penetration Testing and many Companies all around<br>     the world have adopted it.<br>     It is vital for the project mantaining an updated project that<br>     represents the state of the art for WebAppSec.<br><br>     Project Roadmap<br>     =============<br><br>     - (1) 1st phase: Brainstorming and create a new table of contents<br><br>     Objective: creating a new table of contents of the OTGv4<br>     assigning a task for each contributor.<br>     I created a new OWASP Testing Guide v4 table of Contents here:<br>     <a href="https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents" target="_blank">https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents</a><br><br>     - (2) 2nd phase:  Writing<br>     20th September 2012: Start writing the articles<br>     1st November 2012: 1st Draft<br>     30th November: end of writing phase<br><br>     - (3) 3rd phase: Reviewing<br><br>     - 1st December 2012: Starting the review phase,<br>     - 15th December 2012: Create the RC1,<br>     - 31st January 2013: Release the version 4.<br><br>     Timeline November 2012 1st Draft, January 2013 Final Release<br><br>     So, let's start discussion about phase (1)!<br><br>     Thanks!<br>     Mat<br><br>     --<br>     Matteo Meucci<br>     OWASP Testing Guide Lead<br>     OWASP-Italy President<br><br><br>     _______________________________________________<br>     Owasp-testing mailing list<br>     <a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a> <mailto:<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a>><br>     <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br><br><br><br><br>-- <br>Ismael Gonšalves<o:p></o:p></p></blockquote><p class=MsoNormal><o:p> </o:p></p></div></div><div><div><p class=MsoNormal>_______________________________________________<br>Owasp-testing mailing list<br><a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><o:p></o:p></p></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>