<div dir="ltr"><div class="gmail_default" style="font-size:x-small">I look at the OWASP risk rating methodology.</div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">
My comments as follows.</div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">It does not really distinguish between a specific occurence and the prevalence or distribution of an affected application in a given context.<br>
</div><div class="gmail_default" style><font size="1">It does not sufficiently factor in the value or the role of the application within the context to the organization, the execution environment, or the remediation cost.</font></div>

<div class="gmail_default"><br></div><div class="gmail_default" style="font-size:x-small">In Threat Agent factors.<br>

</div><div class="gmail_default" style="font-size:x-small">-Size of group of threat does not qualify type.<br></div><div class="gmail_default" style="font-size:x-small">-Opportunity should speak to motive and not to a level of access.</div>
<div class="gmail_default" style="font-size:x-small">
<br></div><div class="gmail_default" style="font-size:x-small">In Vulnerability factors.</div><div class="gmail_default" style="font-size:x-small">-Discoverability and exploitability are not very helpful in expressing the complexity of the attack.<br>
</div><div class="gmail_default" style="font-size:x-small">-Under awareness, I do not think that how well known a vulnerability is for a group of threat agents is a reasonable question to ask, and am not certain of a practical scenario where hidden would be assigned. It could presume knowledge about the MO of a threat profile - not typically vulnerability-centric, and this level of detail may be beyond the reach of the organization or of the assessor. Instead, a more reasonable question might be centered around any evidence of disclosure of said vulnerability in the public domain, and perhaps a qualifier describing the level of confidence of the report and whether the issue was acknowledged by the vendor. <br>
</div>
<div class="gmail_default" style="font-size:x-small">A qualifier describing the age of the vulnerability could be useful<br></div><div class="gmail_default" style="font-size:x-small">Around intrusion detection, two properties seem to be implied, the detectability or ease of detection and the action of review. The ease of detection from the generation of a cyber observable may depend on other components such as a system-centric configuration settings, and the reviewing, freqency of review, etc. speak to potential / components of another system.  <br>

</div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small">
<br></div><div class="gmail_default" style="font-size:x-small">
<br></div>
<div class="gmail_default" style="font-size:x-small"><br></div><div class="gmail_default" style="font-size:x-small"><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, May 8, 2013 at 2:06 PM, alberto cuevas <span dir="ltr"><<a href="mailto:beto.cuevas.v@gmail.com" target="_blank">beto.cuevas.v@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hello,</div><div><br></div>In the OWASP Testing Guide, proposes the use of OWASP Risk Rating Methodology (actually we used this for pentest web results). <div>
<br></div><div>- This could be noted as a standard methodology? (I guess the majority of the community uses this)</div>
<div><div class="gmail_extra">- Has anyone seen the limits of this methodology in certain situations?</div><div class="gmail_extra">-  Which other methodologies can be recommended to use rather than OWASP Risk Rating Methodology?</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Thanks in advance for your guidance.<br><br>Beto</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_quote">2013/5/7 jm <span dir="ltr"><<a href="mailto:sysvar0@gmail.com" target="_blank">sysvar0@gmail.com</a>></span><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im"><p dir="ltr">Vulnerability-centric<br>
Qualitative<br>
Coarse-grained<br>
Simple<br>
Concise<br>
Contextually extensible<br>
Open framework<br>
Inconsistent implementations <br>
In relative wide-use<br>
One-to-one mappings - no scale well for multiple vulnerabilites <br>
</p>
</div><div class="gmail_quote">El may 7, 2013 7:46 p.m., "Eoin" <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> escribió:<div><div class="h5"><div><div><br type="attribution">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div dir="auto"><div>CVSS pretty much is devoid of context.</div><div>It does not consider client attacks IMHO. It's more of a traditional security issue rating system. PCI mapping to CVSS v2 for appsec is pretty poor. <br>


<br>Eoin Keary<div>Owasp Global Board</div><div><a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></div><div><br></div></div><div><br>On 8 May 2013, at 00:34, alberto cuevas <<a href="mailto:beto.cuevas.v@gmail.com" target="_blank">beto.cuevas.v@gmail.com</a>> wrote:<br>


<br></div><blockquote type="cite"><div><div dir="ltr"><div>Hello,</div><div><br></div><div><pre><span style="font-family:arial">In the section 5.1 HOW TO VALUE THE REAL RISK in OWASP Testing Guide v3, notes :</span><br></pre>


</div><div><br>
</div><div><div>"Ideally, there would be a universal risk rating system that would accurately estimate all risks for all </div><div>organization. But a vulnerability that is critical to one organization may not be very important to another. </div>



<div>So we're presenting a basic framework here that you should customize for your organization. "</div><div><br></div><div>Whereby, the following questions came to mind:</div><div><br></div><div>
- Is a good idea to use CVSS v2 to score pentest web results? (I think so that temporal and environmental metrics can be produced diferentes ratings which determines how critical the vulnerabilitie is for one or another organization.)</div>



<div><br></div><div>- I read that CVSS v2 has some limitations for score combined vulnerabilties, So, in case to sue CVSS v2 to score, Do exist some mode to solve this issue?</div></div><div><br></div><div>
I wonder if there are opinions on the ups and downs of using CVSS v2 to rate the pentest web results. I appreciate in advance any help or information you can give me.</div><div><br></div><div>Best Regards,</div>
<div><br></div><div>Beto</div></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-testing mailing list</span><br><span><a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a></span><br>


<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a></span><br></div></blockquote></div><br>_______________________________________________<br>



Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br></blockquote></div></div></div></div></div></blockquote></div></div></div></div>

</blockquote></div><br></div>