Hello.<br><br>As I mentioned some days ago, I suggested improve SSL Test maybe based no Qualys SSLabs issues and other.<br><br>"SSL Test<br> -> Enhace (maybe based on Qualys SSLlabs  tests?)"<br><br>Still talking about "cryptography not used when necessary" I would say that is important to cover aspects of technologies which use ViewState concept (e.g. JSF, .NET).<br>
<br>Ismael Gonçalves<br><br><div class="gmail_quote">On Tue, Sep 4, 2012 at 5:42 PM, Simone Onofri <span dir="ltr"><<a href="mailto:simone.onofri@gmail.com" target="_blank">simone.onofri@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">hi all,<br>
<br>
i see the question is "data encryption" covers transmission and storage both.<br>
<br>
historically two issues are divided. to brainstorming some stuff, also<br>
using the web application security testing checklist [1]:<br>
<br>
 - not used when necessary (e.g. for credential transportation or storage)<br>
 - algorithms<br>
   - weak/homebrew (e.g. on ssl or when developers uses weak<br>
algorithms to protect data)<br>
   - wrong context (e.g. symmetric encryption for password storage)<br>
   - improper usage (e.g. hashing without salting, kdf with less iterations)<br>
 - keys and secrets<br>
   - weak/short/guessable (e.g. also on ssl)<br>
 - entropy issues<br>
   - weak random generators<br>
   - ...<br>
<br>
ideas?<br>
<br>
s.<br>
<br>
<br>
[1] <a href="https://www.owasp.org/index.php/Web_Application_Security_Testing_Cheat_Sheet" target="_blank">https://www.owasp.org/index.php/Web_Application_Security_Testing_Cheat_Sheet</a><br>
<div class="HOEnZb"><div class="h5">On Tue, Sep 4, 2012 at 9:56 PM, Juan Galiana Lara <<a href="mailto:jgaliana@owasp.org">jgaliana@owasp.org</a>> wrote:<br>
> +1!<br>
><br>
> I think that is really important to cover.<br>
><br>
> I've seen a new  "Testing for Data Encryption (New!)" under the data<br>
> validation section, but I would rather consider to have a main section for<br>
> "Cryptography" at the same level of authentication, authorization, data<br>
> validation and so on.<br>
><br>
> Cryptography is one of the most important topics in security and there have<br>
> been quite significant crypto vulnerabilities applied to webapps like the<br>
> padding oracle attack technique that was applied to decrypt HTTP cookies in<br>
> several frameworks like <a href="http://ASP.NET" target="_blank">ASP.NET</a>, ROR and JSF two years back. Or the one<br>
> Eduardo mention, extension attacks due to improper or lack of use of HMAC<br>
> algorithms, that is quite common.<br>
><br>
> Actually, there are already few sections under DV in the new table of<br>
> contents, that would fit in that section:<br>
><br>
> Testing for Data Encryption (New!)<br>
><br>
> Application did not use encryption<br>
> Weak SSL/TSL Ciphers<br>
><br>
> Insufficient Transport Layer Protection<br>
><br>
> Insecure Cryptographic Storage [mainly CR Guide]<br>
><br>
><br>
> Thoughts?<br>
><br>
><br>
> --<br>
> Juan Galiana<br>
><br>
><br>
> On Tue, Sep 4, 2012 at 3:58 AM, Eduardo Castellanos <<a href="mailto:guayin@gmail.com">guayin@gmail.com</a>><br>
> wrote:<br>
>><br>
>> Hello,<br>
>><br>
>> What about a section for cryptographic attacks? Bad use of crypto<br>
>> functions in general. (Hash Length Extension, etc.) or would that be outside<br>
>> the scope of the guide?<br>
>><br>
>> Related links:<br>
>><br>
>> <a href="https://blog.whitehatsec.com/hash-length-extension-attacks/" target="_blank">https://blog.whitehatsec.com/hash-length-extension-attacks/</a><br>
>> <a href="https://www.owasp.org/index.php/Category:Cryptographic_Vulnerability" target="_blank">https://www.owasp.org/index.php/Category:Cryptographic_Vulnerability</a><br>
>><br>
>> <a href="http://blogs.msdn.com/b/ace_team/archive/2008/11/13/vulnerabilities-due-to-improper-use-of-crypto-part-1.aspx" target="_blank">http://blogs.msdn.com/b/ace_team/archive/2008/11/13/vulnerabilities-due-to-improper-use-of-crypto-part-1.aspx</a><br>

>><br>
>><br>
>> Eduardo Castellanos N.<br>
>><br>
>><br>
>><br>
>> On Mon, Sep 3, 2012 at 8:01 PM, Robert Winkel<br>
>> <<a href="mailto:robert.winkel@saltbushgroup.com">robert.winkel@saltbushgroup.com</a>> wrote:<br>
>>><br>
>>> I have taken the liberty of assigning myself against several of the<br>
>>> Authentication Testing test cases.  I am happy to hand those over if<br>
>>> someone<br>
>>> is interested in be assigned to those instead.<br>
>>><br>
>>> What happened to the Denial of Service test cases?<br>
>>><br>
>>> Is there a template to adhere to when the writing stage begins?<br>
>>><br>
>>> _______________________________________<br>
>>> Robert “Bull” Winkel<br>
>>> Director Saltbush Assurance<br>
>>> email: <a href="mailto:robert.winkel@saltbushgroup.com">robert.winkel@saltbushgroup.com</a><br>
>>> <a href="http://www.linkedin.com/in/robertwinkel" target="_blank">http://www.linkedin.com/in/robertwinkel</a><br>
>>><br>
>>><br>
>>> -----Original Message-----<br>
>>> From: <a href="mailto:owasp-testing-bounces@lists.owasp.org">owasp-testing-bounces@lists.owasp.org</a><br>
>>> [mailto:<a href="mailto:owasp-testing-bounces@lists.owasp.org">owasp-testing-bounces@lists.owasp.org</a>] On Behalf Of Matteo Meucci<br>
>>> Sent: Friday, 31 August 2012 1:40 AM<br>
>>> To: <a href="mailto:owasp-testing@lists.owasp.org">owasp-testing@lists.owasp.org</a><br>
>>> Subject: [Owasp-testing] Testing Guide V4 - Start up<br>
>>><br>
>>> Hi all Testing Guide contributors.<br>
>>><br>
>>> Testing Guide v4 has been approved as Projects Reboot 2012!<br>
>>> <a href="https://www.owasp.org/index.php/Projects_Reboot_2012" target="_blank">https://www.owasp.org/index.php/Projects_Reboot_2012</a><br>
>>><br>
>>> Here is the list of contributors I've collected:<br>
>>><br>
>>> Pavol Luptak<br>
>>> Marco Morana<br>
>>> Giorgio Fedon<br>
>>> Stefano Di Paola<br>
>>> Gianrico Ingrosso<br>
>>> Giuseppe Bonfà<br>
>>> Roberto Suggi Liverani<br>
>>> Robert Smith<br>
>>> Andrew Muller<br>
>>> Robert Winkel<br>
>>> tripurari rai<br>
>>> Thomas Ryan<br>
>>> tim bertels<br>
>>> Cecil Su<br>
>>> Aung KhAnt<br>
>>> Norbert Szetei<br>
>>> michael.boman<br>
>>> Wagner Elias<br>
>>> Kevin Horvat<br>
>>> Juan Galiana Lara<br>
>>> Kenan Gursoy<br>
>>> Jason Flood<br>
>>> Javier Marcos de Prado<br>
>>> Sumit Siddharth<br>
>>> Mike Hryekewicz<br>
>>> psiinon<br>
>>> Ray Schippers<br>
>>> Raul Siles<br>
>>> Jayanta Karmakar<br>
>>> Brad Causey<br>
>>> Vicente Aguilera<br>
>>> Ismael Gonçalves<br>
>>><br>
>>> Reviewers team:<br>
>>><br>
>>> Paolo Perego<br>
>>> Daniel Cuthbert<br>
>>> Matthew Churcher<br>
>>> Lode Vanstechelman<br>
>>> Sebastien Gioria<br>
>>><br>
>>><br>
>>> Introduction and Project purpose for v4:<br>
>>> ============================ ============= The OWASP Testing Guide v3<br>
>>> includes a "best practice" penetration testing framework which users can<br>
>>> implement in their own organizations and a "low level" penetration<br>
>>> testing<br>
>>> guide that describes techniques for testing most common web application<br>
>>> and<br>
>>> web service security issues. Nowadays the Testing Guide has become the<br>
>>> standard to perform a Web Application Penetration Testing and many<br>
>>> Companies<br>
>>> all around the world have adopted it.<br>
>>> It is vital for the project mantaining an updated project that represents<br>
>>> the state of the art for WebAppSec.<br>
>>><br>
>>> Project Roadmap<br>
>>> =============<br>
>>><br>
>>> - (1) 1st phase: Brainstorming and create a new table of contents<br>
>>><br>
>>> Objective: creating a new table of contents of the OTGv4 assigning a task<br>
>>> for each contributor.<br>
>>> I created a new OWASP Testing Guide v4 table of Contents here:<br>
>>> <a href="https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents" target="_blank">https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents</a><br>
>>><br>
>>> - (2) 2nd phase:  Writing<br>
>>> 20th September 2012: Start writing the articles 1st November 2012: 1st<br>
>>> Draft<br>
>>> 30th November: end of writing phase<br>
>>><br>
>>> - (3) 3rd phase: Reviewing<br>
>>><br>
>>> - 1st December 2012: Starting the review phase,<br>
>>> - 15th December 2012: Create the RC1,<br>
>>> - 31st January 2013: Release the version 4.<br>
>>><br>
>>> Timeline November 2012 1st Draft, January 2013 Final Release<br>
>>><br>
>>> So, let's start discussion about phase (1)!<br>
>>><br>
>>> Thanks!<br>
>>> Mat<br>
>>><br>
>>> --<br>
>>> Matteo Meucci<br>
>>> OWASP Testing Guide Lead<br>
>>> OWASP-Italy President<br>
>>><br>
>>><br>
>>> _______________________________________________<br>
>>> Owasp-testing mailing list<br>
>>> <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
>>><br>
>>> _______________________________________________<br>
>>> Owasp-testing mailing list<br>
>>> <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
>><br>
>><br>
>><br>
>> _______________________________________________<br>
>> Owasp-testing mailing list<br>
>> <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
>><br>
><br>
><br>
> _______________________________________________<br>
> Owasp-testing mailing list<br>
> <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
><br>
_______________________________________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Ismael Gonçalves<br>