Hello everyone,<div><br></div><div>When looking at the ToC, I see that "Logout function not properly implemented" is mentioned under "Authentication Testing", but shouldn't this be mentioned under "Session Management Testing" since this vulnerability is about the session which is not properly destroyed on the server?</div>
<div><br></div><div>Then I would also propose to add the following 2 vulnerabilities/test methods:</div><div><ol><li>Clickjacking a.k.a. "Frameable response": I would propose to add this in section "Configuration and Deploy Management Testing" since this vulnerability can be solved by adding the header "X-FRAME-OPTIONS" to the responses.</li>
<li>CAPTCHA's: what are good ones and how can they be broken. I think this should be added in "Authentication testing"</li></ol><div>Regards,</div><div>Lode</div><br><div class="gmail_quote">On 30 August 2012 23:20, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I love you all.<span class="HOEnZb"><font color="#888888"><br>
<br>
- Jim Manico<br>
OWASP Volunteer</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi mat,<br>
<br>
Please consider also me!<br>
<br>
Ciao,<br>
s.<br>
-----Original Message-----<br>
From: Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a>><br>
Sender: <a href="mailto:owasp-testing-bounces@lists.owasp.org" target="_blank">owasp-testing-bounces@lists.<u></u>owasp.org</a><br>
Date: Thu, 30 Aug 2012 22:18:07<br>
To: Ismael Rocha<<a href="mailto:ismaelrocha.projetos@gmail.com" target="_blank">ismaelrocha.projetos@<u></u>gmail.com</a>><br>
Cc: <<a href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a><u></u>><br>
Subject: Re: [Owasp-testing] Testing Guide V4 - Start up<br>
<br>
Hi Ismael,<br>
that's great!<br>
<br>
ToC is a DRAFT now. We are at phase (1), we have to brainstorm now.<br>
<br>
Thanks,<br>
Mat<br>
<br>
<br>
On 08/30/2012 07:38 PM, Ismael Rocha wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello Matteo.<br>
  I made a cross reference between Top Ten and Testing Guide for the<br>
Cheatsheet project Top Ten.<br>
  <a href="https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet" target="_blank">https://www.owasp.org/index.<u></u>php/OWASP_Top_Ten_Cheat_Sheet</a><br>
  About the Table of Contents, is it the definitive one and we need only<br>
to assign the contribuitors or we are going to discuss the table of<br>
contents as well?<br>
  Regards.<br>
  Ismael Gonçalves<br>
<br>
On Thu, Aug 30, 2012 at 12:40 PM, Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a><br>
<mailto:<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.<u></u>org</a>>> wrote:<br>
<br>
     Hi all Testing Guide contributors.<br>
<br>
     Testing Guide v4 has been approved as Projects Reboot 2012!<br>
     <a href="https://www.owasp.org/index.php/Projects_Reboot_2012" target="_blank">https://www.owasp.org/index.<u></u>php/Projects_Reboot_2012</a><br>
<br>
     Here is the list of contributors I've collected:<br>
<br>
     Pavol Luptak<br>
     Marco Morana<br>
     Giorgio Fedon<br>
     Stefano Di Paola<br>
     Gianrico Ingrosso<br>
     Giuseppe Bonfà<br>
     Roberto Suggi Liverani<br>
     Robert Smith<br>
     Andrew Muller<br>
     Robert Winkel<br>
     tripurari rai<br>
     Thomas Ryan<br>
     tim bertels<br>
     Cecil Su<br>
     Aung KhAnt<br>
     Norbert Szetei<br>
     michael.boman<br>
     Wagner Elias<br>
     Kevin Horvat<br>
     Juan Galiana Lara<br>
     Kenan Gursoy<br>
     Jason Flood<br>
     Javier Marcos de Prado<br>
     Sumit Siddharth<br>
     Mike Hryekewicz<br>
     psiinon<br>
     Ray Schippers<br>
     Raul Siles<br>
     Jayanta Karmakar<br>
     Brad Causey<br>
     Vicente Aguilera<br>
     Ismael Gonçalves<br>
<br>
     Reviewers team:<br>
<br>
     Paolo Perego<br>
     Daniel Cuthbert<br>
     Matthew Churcher<br>
     Lode Vanstechelman<br>
     Sebastien Gioria<br>
<br>
<br>
     Introduction and Project purpose for v4:<br>
     ============================ =============<br>
     The OWASP Testing Guide v3 includes a "best practice" penetration<br>
     testing framework which users can implement in their own organizations<br>
     and a "low level" penetration testing guide that describes techniques<br>
     for testing most common web application and web service security<br>
     issues. Nowadays the Testing Guide has become the standard to perform<br>
     a Web Application Penetration Testing and many Companies all around<br>
     the world have adopted it.<br>
     It is vital for the project mantaining an updated project that<br>
     represents the state of the art for WebAppSec.<br>
<br>
     Project Roadmap<br>
     =============<br>
<br>
     - (1) 1st phase: Brainstorming and create a new table of contents<br>
<br>
     Objective: creating a new table of contents of the OTGv4<br>
     assigning a task for each contributor.<br>
     I created a new OWASP Testing Guide v4 table of Contents here:<br>
     <a href="https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents" target="_blank">https://www.owasp.org/index.<u></u>php/OWASP_Testing_Guide_v4_<u></u>Table_of_Contents</a><br>
<br>
     - (2) 2nd phase:  Writing<br>
     20th September 2012: Start writing the articles<br>
     1st November 2012: 1st Draft<br>
     30th November: end of writing phase<br>
<br>
     - (3) 3rd phase: Reviewing<br>
<br>
     - 1st December 2012: Starting the review phase,<br>
     - 15th December 2012: Create the RC1,<br>
     - 31st January 2013: Release the version 4.<br>
<br>
     Timeline November 2012 1st Draft, January 2013 Final Release<br>
<br>
     So, let's start discussion about phase (1)!<br>
<br>
     Thanks!<br>
     Mat<br>
<br>
     --<br>
     Matteo Meucci<br>
     OWASP Testing Guide Lead<br>
     OWASP-Italy President<br>
<br>
<br>
     ______________________________<u></u>_________________<br>
     Owasp-testing mailing list<br>
     <a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a> <mailto:<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.<u></u>owasp.org</a>><br>

     <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/<u></u>mailman/listinfo/owasp-testing</a><br>
<br>
<br>
<br>
<br>
-- <br>
Ismael Gonçalves<br>
</blockquote></blockquote>
<br></div></div><div class="HOEnZb"><div class="h5">
______________________________<u></u>_________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/<u></u>mailman/listinfo/owasp-testing</a><br>
</div></div></blockquote></div><br></div>