<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0cm;
        margin-right:0cm;
        margin-bottom:0cm;
        margin-left:36.0pt;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.hoenzb
        {mso-style-name:hoenzb;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:1060440072;
        mso-list-type:hybrid;
        mso-list-template-ids:-591904934 269025297 269025305 269025307 269025295 269025305 269025307 269025295 269025305 269025307;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-CA link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>Hi Andrew, have you fully updated that wiki page? Assuming yes and just having a quick look here are a few concerns (some of this is from the related wiki talk page):<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><span style='mso-list:Ignore'>1)<span style='font:7.0pt "Times New Roman"'>      </span></span></span><![endif]><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>It suggests using a document code as element 1. If it’s common then no document reference should be required.<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><span style='mso-list:Ignore'>2)<span style='font:7.0pt "Times New Roman"'>      </span></span></span><![endif]><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>Leading things with OCR- seems redundant and just wasteful of space (page space when printing and disk space when saving/generating reports, DBs, etc.) <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>I can’t be sure but to me it doesn’t seem like the wiki content accounts for mailing list discussions (though many of them were purely suggestion/consideration based and never really reached any solid conclusion(s)):<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>http://lists.owasp.org/pipermail/owasp-common-numbering/<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>http://lists.owasp.org/pipermail/owasp-topten/2010-January/date.html#596<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>https://lists.owasp.org/pipermail/owasp-topten/2010-January/000585.html<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>[I’m sure there is other stuff on the lists as well, that was just a quick check from memory.]<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>My 2 cents...<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>Rick<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-testing-bounces@lists.owasp.org [mailto:owasp-testing-bounces@lists.owasp.org] <b>On Behalf Of </b>Andrew Muller<br><b>Sent:</b> June 19, 2013 7:11 AM<br><b>To:</b> Colin Watson<br><b>Cc:</b> owasp-testing<br><b>Subject:</b> Re: [Owasp-testing] Test Guide changes<o:p></o:p></span></p></div><p class=MsoNormal><o:p> </o:p></p><div><div><div><p class=MsoNormal>Hi Colin,<o:p></o:p></p></div><p class=MsoNormal>  Its not detailed, and it doesn't include some of the categories we've included in the Test Guide, but the body of it is captured at <a href="https://www.owasp.org/index.php/OWASP_Common_Numbering_Project">https://www.owasp.org/index.php/OWASP_Common_Numbering_Project</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>Andrew<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Wed, Jun 19, 2013 at 8:16 PM, Colin Watson <<a href="mailto:colin.watson@owasp.org" target="_blank">colin.watson@owasp.org</a>> wrote:<o:p></o:p></p><p class=MsoNormal>Andrew<o:p></o:p></p><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>> 1) Common Numbering - I've leveraged work done by Dave Wichers and Andrew vd Stock in relation to this and started migrating OWASP test cases into a new numbering scheme that aligns with their earlier work.<o:p></o:p></p></div><p class=MsoNormal>Could you provide the schema and some examples of how these look please?<br><span style='color:#888888'><br><span class=hoenzb>Colin</span></span><o:p></o:p></p><div><div><p class=MsoNormal><br><br><br>On 14 June 2013 04:51, Andrew Muller <<a href="mailto:andrew.muller@owasp.org">andrew.muller@owasp.org</a>> wrote:<br>> Hi folks,<br>><br>>   As I've recently been appointed as Matteo's Test Guide wingman I thought I<br>> would introduce some things I've been working on in relation to the Test<br>> Guide.<br>><br>><br>><br>> The brainstorming is largely complete and we've started reviewing the<br>> efficacy of test cases. You'll see some suggested ones have disappeared or<br>> changed categories. There were some very cool suggestions that I'd recommend<br>> folks consider during testing (e.g. prod data in pre-prod) but reflect<br>> procedural vulnerabilities rather than software vulnerabilities. Where<br>> possible I've retained the existing test case wording to reduce the stress<br>> of transitioning from v3 to v4, but there are some significant changes. The<br>> major changes include:<br>><br>><br>><br>> 1) Common Numbering - I've leveraged work done by Dave Wichers and Andrew vd<br>> Stock in relation to this and started migrating OWASP test cases into a new<br>> numbering scheme that aligns with their earlier work. The new scheme is<br>> based on defining security control categories and then defining test cases<br>> that test for vulnerabilities related to each control category. However,<br>> you'll find that some of these categories relate to technology rather than a<br>> security control. The inconsistent application of this principle was done in<br>> the interests of usability and familiarity.<br>><br>><br>><br>> 2) Test Case template - I've been working on creating a test case template<br>> that makes understanding, executing, responding to and reporting tests<br>> easier and more consistent.<br>><br>> For example, it would be helpful if test cases were titled according to:<br>><br>> [Verb] [Object] for [Vulnerability] (e.g. "Test Inputs for SQL Injection")<br>><br>> It would also be helpful to describe a test case by addressing:<br>><br>> a) summary of vulnerability,<br>><br>> b) summary of test,<br>><br>> c) objective of test,<br>><br>> d) how to test,<br>><br>> e) example of test,<br>><br>> f) tools,<br>><br>> g) references to the Dev Guide for fixing the issue, and<br>><br>> h) vulnerability references.<br>><br>> I'm not inclined to change the legacy test case titles just yet, but I ask<br>> for contributors to consider formatting the content test cases in this way.<br>><br>><br>><br>> 3) New control categories - Identity Management, Error Handling,<br>> Cryptography, Logging and Client-side security have emerged that either<br>> better categorise existing and new test cases. As with the existing test<br>> cases, not all will apply to every engagement, but we should aim to be as<br>> comprehensive as possible.<br>><br>><br>><br>> 4) Above all, we're not suggesting you stick to the OWASP list of test<br>> cases. Generic test cases will only get us so far, and it is imperative that<br>> security testers develop their own test cases for functionality that is<br>> either highly specific or absent from the OWASP test case list. The Test<br>> Guide is the starting point, not the finishing point. But we hope that<br>> you'll be able to apply the methodology and templates to these as yet<br>> unknown test cases. If you develop a test case you think is particularly<br>> relevant then please consider submitting it to the Test Guide.<br>><br>><br>><br>> Many thanks to the army of contributors for giving their knowledge and<br>> experience. There is an incredible amount of expertise out there and It<br>> shows in the very high quality updates to the test cases.<br>><br>> I believe many of the changes will serve to improve the quality of the<br>> Guide, but I'm open to feedback on any of the changes to the Test Guide.<br>><br>><br>><br>> regards,<br>><br>><br>><br>>   Andrew<br>><br>><br>><br>><br>><o:p></o:p></p></div></div><div><div><p class=MsoNormal>> _______________________________________________<br>> Owasp-testing mailing list<br>> <a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>><o:p></o:p></p></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>