Have we considered internal (authenticated) vs external (public) XSS.<div>they are quite different risks also depending on the role in which the vulnerable function is visible. say Admin function that is XSS is worse than an lesser role.</div>
<div><br></div><div><br><br><div class="gmail_quote">On Wed, Sep 12, 2012 at 11:30 AM, Ismael Rocha <span dir="ltr"><<a href="mailto:ismaelrocha.projetos@gmail.com" target="_blank">ismaelrocha.projetos@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Jim.<br><br>I'm thinking about a good way to add it because the risk I've put in the table is also calculated based on business impact, then a XSS flaw once exploited for example has a different impact according to the business. <br>

<br>Regards.<br><br>Ismael Gonçalves<div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">On Sun, Sep 9, 2012 at 5:02 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF"><div>Can you add the risk column to the cheat sheet?? :)<br><br><div>--</div><div>Jim Manico</div>

<div>VP, Security Architecture</div><div>WhiteHat Security</div><div><a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a></div>
</div><div><div><div><br>On Sep 9, 2012, at 7:52 AM, Ismael Rocha <<a href="mailto:ismaelrocha.projetos@gmail.com" target="_blank">ismaelrocha.projetos@gmail.com</a>> wrote:<br><br></div><div></div><blockquote type="cite">

<div>Hello David.<br>
<br>I worked in the Top Ten Cheatsheet to make the link between Top Ten and Testing Guide.<br><a href="https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet" target="_blank">https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet</a><br>




<br>Here is a table I've been providing in reports about analysis based 
on Top Ten. The calculations of the risk are also based on OWASP Testing
 Guide - Risk Methodology and the business impact factors are adapted 
according to the customer. <br>
<br><br>

<table style="border-collapse:collapse;border:none" border="1" cellpadding="0" cellspacing="0">
 <tbody><tr>
  <td style="width:107.65pt;border:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:center;line-height:150%" align="center"><b><span style="font-family:"Arial","sans-serif"">Item OWASP <i>Top Ten</i></span></b></p>
  </td>
  <td style="width:25.35pt;border:solid windowtext 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:center;line-height:150%" align="center"><b><span style="font-family:"Arial","sans-serif"">Id </span></b></p>
  </td>
  <td style="width:151.95pt;border:solid windowtext 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:center;line-height:150%" align="center"><b><span style="font-family:"Arial","sans-serif"">Vulnerability</span></b></p>
  </td>
  <td style="width:103.2pt;border:solid windowtext 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:center;line-height:150%" align="center"><b><span style="font-family:"Arial","sans-serif"">OWASP <span>Testing Guide Iten<br></span></span></b></p>
  </td>
  <td style="width:76.2pt;border:solid windowtext 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:center;line-height:150%" align="center"><b><span style="font-family:"Arial","sans-serif"">Risk</span></b></p>
  </td>
 </tr>
 <tr>
  <td style="width:107.65pt;border:solid windowtext 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">A1
  – Injection</span></p>
  </td>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">01</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">SQL Injection<br></span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-DV-005</span></p>
  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:#c00000;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Critical<br></span></p>
  </td>
 </tr>
 <tr>
  <td style="width:107.65pt;border:solid windowtext 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">A2
  – <i>Cross-Site-Scripting</i></span></p>
  </td>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">02</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><i><span style="font-family:"Arial","sans-serif"">Cross-site-scripting</span></i></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-DV-001</span></p>
  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:yellow;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Medium</span></p>
  </td>
 </tr>
 <tr>
  <td rowspan="3" style="width:107.65pt;border:solid windowtext 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">A6
  – Security misconfiguration<br></span></p>
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif""> </span></p>
  </td>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">03</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Old version PHP</span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-CM-003</span><span style="font-family:"Arial","sans-serif""></span></p>





  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:red;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">High</span></p>
  </td>
 </tr>
 <tr>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">04</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span><span style="font-family:"Arial","sans-serif"">Server</span></span><i><span style="font-family:"Arial","sans-serif""> </span></i><span><span style="font-family:"Arial","sans-serif"">vulnerable to </span></span><i><span style="font-family:"Arial","sans-serif"">Slow</span></i><span style="font-family:"Arial","sans-serif"">
  HTTP</span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-CM-003</span></p>
  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:red;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">High</span></p>
  </td>
 </tr>
 <tr>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">05</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Administrative interfaces found<br></span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-CM-007</span><span style="font-family:"Arial","sans-serif""></span></p>





  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:red;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">High</span></p>
  </td>
 </tr>
 <tr>
  <td style="width:107.65pt;border:solid windowtext 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"" lang="EN-US">A7 – Insecure cryptographic storage</span><span style="font-family:"Arial","sans-serif""></span></p>





  </td>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">06</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Password stored with hash and without salt<br></span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">-</span></p>
  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:yellow;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Medium</span></p>
  </td>
 </tr>
 <tr>
  <td style="width:107.65pt;border:solid windowtext 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="144">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">A9
  – Insufficient Transport Layer Protection<br></span></p>
  </td>
  <td style="width:25.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="34">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">07</span></p>
  </td>
  <td style="width:151.95pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="203">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">Insecure channel for authentication<br></span></p>
  </td>
  <td style="width:103.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="138">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">OWASP-AT-001</span><span style="font-family:"Arial","sans-serif""></span></p>





  </td>
  <td style="width:76.2pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;background:red;padding:0cm 5.4pt 0cm 5.4pt" valign="top" width="102">
  <p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif"">High</span></p>
  </td>
 </tr>
</tbody></table>

<p class="MsoNormal" style="text-align:justify;line-height:150%"><span style="font-family:"Arial","sans-serif""> </span></p>Regards.<br><br>Ismael Gonçalves<br><br>On Sat, Sep 8, 2012 at 7:32 PM, David Fern <<a href="mailto:dfern@verizon.net" target="_blank">dfern@verizon.net</a>> wrote:<br>



> I agree here are some process items I have from v3:<br>>  <br>> Section 1 – Testing Techniques Explained – Page 19<br>>             Although Black, Grey, white Box testing is addressed in the<br>> document and are<br>



>             common terms should they be defined?<br>>                      <br>>             Should the concept of Automated Static and dynamic testing be<br>> addressed?<br>> Section 1 – Testing Techniques Explained - Page 20 Threat Modeling<br>



>            <br>> Should this link to the OWASP Threat Risk Modeling page?<br>> <a href="https://www.owasp.org/index.php/Threat_Risk_Modeling" target="_blank">https://www.owasp.org/index.php/Threat_Risk_Modeling</a><br>

>  <br>

> Section 1 – Testing Techniques Explained – Page 26 – Security Requirements<br>> Validation<br>> Could it be mentioned that the list of controls in Section 4 Could be used<br>> as “Global” requirements in addition to the “specific” requirements<br>



> specified in the application requirements. All may not be applicable for all<br>> applications.<br>>  <br>> Section 1 – Testing Techniques Explained – Page 36<br>>  <br>>             Would this be a good place to discuss the OWASP Risk Rating<br>



>             <a href="https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology" target="_blank">https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology</a><br>>             Which is included in page 325 in detail<br>

>  <br>

> Section 3 – The OWASP Testing Framework – Page 40<br>>  <br>>             Should Open SAMM be mentioned here<br>>            <br>> <a href="https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model" target="_blank">https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model</a><br>



>  <br>> Section 3 – The OWASP Testing Framework – Phase 2: During Definition and<br>> Design - Page 41<br>>  <br>>             Should ESAPI be mentioned here as a best practice?<br>>            <br>> <a href="https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API" target="_blank">https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>



>  <br>>             Should the references to coding standards be given, for example:<br>> CERT -<br>> <a href="https://www.securecoding.cert.org/confluence/display/seccode/CERT+Secure+Coding+Standards;jsessionid=A9B9B2080B83DEEB21CE15B1415CEDD9" target="_blank">https://www.securecoding.cert.org/confluence/display/seccode/CERT+Secure+Coding+Standards;jsessionid=A9B9B2080B83DEEB21CE15B1415CEDD9</a><br>



>  <br>>            <br>> <a href="https://www.securecoding.cert.org/confluence/display/seccode/CERT+C+Secure+Coding+Standard" target="_blank">https://www.securecoding.cert.org/confluence/display/seccode/CERT+C+Secure+Coding+Standard</a><br>



>  <br>>            <br>> <a href="https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Coding+Practices" target="_blank">https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Coding+Practices</a><br>



> Section 3 – The OWASP Testing Framework – The Phases especially 4 and 5 page<br>> 43<br>>  <br>>             I would like to see some more details, guidance and checklists<br>> or what exactly to do and<br>



> check<br>>  <br>> Section 3 – The OWASP Testing Framework – OWASP Testing Framework Work Flow<br>> – Page 45<br>>  <br>> All work tasks do not seem to be included in this section, for example the<br>> section details do not include “Unit and System Tests” and “Acceptance<br>



> Tests” in the Deployment part of this section on page 43 or 44.<br>>  <br>> Section 4 - Web Application Penetration Testing – Chart - page 47<br>>  <br>>             Would it be possible to add another column  linking to the<br>



> specific OWASP top 10. My reasoning is that someone may say they will test<br>> to the OWASP top 10. So they need a good list.<br>>  <br>> Section 4 - Web Application Penetration Testing<br>>  <br>>             It seems like the test types have Grey box, White box and Black<br>



> Box but it is not consistent. I think all should probably include all 3<br>> types and if it is not applicable state it.<br>>  <br>> Appendix A: Testing Tools<br>>  <br>>             Should WebInspect be added to the Commercial Black Box Testing<br>



> Tools?<br>>            <br>> Should there be an acceptance Testing Tools – Commercial section for tools<br>> such as:<br>>             HP Quick Test Professional<br>>                         IBM Rational Robot<br>



>                         Etc.<br>>  <br>>             Should the BuildSecurityin web site be added to the “Useful<br>> Websites” section?<br>>                         <a href="https://buildsecurityin.us-cert.gov/bsi/home.html" target="_blank">https://buildsecurityin.us-cert.gov/bsi/home.html</a><br>



>            <br>>             Should Web Service testing tool soapUI be added?<br>>                         <a href="http://www.soapui.org/Security/getting-started.html" target="_blank">http://www.soapui.org/Security/getting-started.html</a><br>



>            <br>> Thanks,<br>> David :)<br>>  <br>> From: Ismael Rocha <<a href="mailto:ismaelrocha.projetos@gmail.com" target="_blank">ismaelrocha.projetos@gmail.com</a>><br>> To: Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a>><br>



> Cc: <a href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a><br>> Sent: Friday, September 7, 2012 6:26 PM<br>><br>> Subject: Re: [Owasp-testing] Testing Guide V4 - Start up<br>

><br>

> Hello.<br>> I know we've been focused on testing list but I have some comments for other<br>> sections.<br>> a) About the Web Application Penetration Testing<br>> Talking about the Web Application Penetration Testing (chapter 4), I suggest<br>



> we improve the section with some explanations.<br>> 4. Web Application Penetration testing<br>> 4.1 Introduction and Objectives<br>>  -> Introduce about typical penetration test phases<br>>   Here we would have an overview of a typical pen-test, divided into 4<br>



> phases.<br>>   1) Plan<br>>    This part basically talks about how to plan a penetration test<br>>    -> Types of the Test (maybe the explanation about types of test could be<br>> fit in a section in the beginning of the testing guide)<br>



>     -> Black Box<br>>     -> White Box<br>>     -> Gray Box<br>>    -> Viewpoint<br>>     -> External<br>>     -> Internal<br>>    -> Scope<br>>     -> <a href="http://www.targetedapp.com" target="_blank">http://www.targetedapp.com</a><br>



>    -> Restrictions<br>>     -> List of all restrictions (e.g. do not perform DoS, social<br>> engineering)<br>>   2) Discovery<br>>    -> Information Gathering<br>>    -> Vulnerability Analysis<br>



>   3) Attack<br>>    -> Attack itself<br>>   4) Report<br>>    -> Last Phase of a penetration test (chapter 5 writing report)<br>>  <br>><br>> b) About the paragraph of the testing cases:<br>> One of the goals of this version is to make the Testing Guide more readable.<br>



> I think we need to define commons subsections present in all testing cases.<br>> Then, all testing cases would have the same sections and formats. I already<br>> suggest to have the checklist (questions) in a pre-defined subsection inside<br>



> each<br>> testing case. If we have a checklist in a table format, we could get them<br>> and put them into a big table that could be printed and checked.<br>> For example:<br>> 4.5.4 Testing for Exposed Session Variables (OWASP-SM-004)<br>



>  4.5.4.2   Brief Summary<br>>  4.5.4.3   Description of the issue<br>>  4.5.4.4   Related security activities<br>>  4.5.4.5   Threats<br>>  4.5.4.6   Countermesures<br>>  4.5.4.7   Testing<br>>     -> Black Box<br>



>             -> Technique 1<br>>             -> Results expected<br>>     -> Gray Box<br>>              ....<br>>     -> White Box<br>>              ....<br>>  4.5.4.8   Checklist<br>>   <br>



> -------------------------------------------------------------------------------------------------------<br>>    | OWASP-SM-004                                      | Black Box | White<br>> Box | Gray Box |<br>


>   <br>
> -------------------------------------------------------------------------------------------------------<br>>    | 1. Cache-control definied to no-cache      |           |           |         <br>> |                    |<br>



>   <br>> -------------------------------------------------------------------------------------------------------<br>>    | 2. Different session token after login        |           |           |         <br>> |                    |<br>



>   <br>> -------------------------------------------------------------------------------------------------------<br>>  4.5.4.9    References<br>>  4.5.4.10  Tools<br>> We can also have a box called tips in each section with some tips<br>



> highlighted.<br>> Regards.<br>>  <br>> Ismael Gonçalves<br>><br>> On Thu, Sep 6, 2012 at 4:22 AM, Matteo Meucci <<a href="mailto:matteo.meucci@owasp.org" target="_blank">matteo.meucci@owasp.org</a>><br>

> wrote:<br>

><br>> Great Luca!<br>><br>> Thanks,<br>> Mat<br>><br>> On 09/04/2012 07:29 PM, Luca Carettoni wrote:<br>>> On Thu, 2012-08-30 at 22:44 +0200, Matteo Meucci wrote:<br>>>> My idea is also to contact the authors of the new testing techniques<br>



>>> asking for their contributes.<br>>>><br>>>> So for example I wish that for HTTP Verb Tampering, Arshan could help<br>>>> and for HTTP Parameter pollution, Stefano and Luca can give us the<br>



>>> better contents.<br>>><br>>> Sure! Feel free to add my name on the list.<br>>> Actually, me and Stefano have already something drafted on HPP that has<br>>> been written during our research.<br>



>><br>>> Cheers,<br>>> Luca<br>>><br>><br>> _______________________________________________<br>> Owasp-testing mailing list<br>> <a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>



> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>><br>><br>><br>><br>> --<br>> Ismael Gonçalves<br>><br>

> _______________________________________________<br>

> Owasp-testing mailing list<br>> <a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>



><br>><br><br><br><br>-- <br>Ismael Gonçalves<br>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-testing mailing list</span><br><span><a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a></span><br>


<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a></span><br></div></blockquote></div></div></div>
</blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br>Ismael Gonçalves<br>
</font></span><br>_______________________________________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><font style="color:rgb(153,153,153)" size="1">Global Board Member (Vice Chair)</font><br></div>
<br>
</div>