<div dir="ltr"><div><div><div>That sounds good to me, especially the demos against WebGoat / DVWA etc.<br></div><div>Do you have a suggested format for these - eg is a list of instructions with relevant screenshots ok?<br>
</div><div><br></div>Having said that I doubt I'll be able to find time to update all of the sections with demos.<br></div>However I'll try to recruit some of the other ZAP developers and power users to help out, stressing that they should collaborate with the article authors/reviewers.<br>
<br></div>Cheers,<br><br>Simon<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Aug 4, 2013 at 3:31 PM, Andrew Muller <span dir="ltr"><<a href="mailto:andrew@ionize.com.au" target="_blank">andrew@ionize.com.au</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-size:12pt;font-family:times new roman,new york,times,serif">Hi Simon,<br>  I'm glad you raised this Simon. To date I've been thinking that the Guide needs to have solid instructional content for security testers. To achieve this I've modified the structure of test cases to include a "how to test" and a "tools" section. In demonstrating "how to test" I thought it appropriate to use examples from tools in the following priority order:<br>
<span style="white-space:pre-wrap">     </span>1) OWASP tools (e.g. ZAP) because the OTG is an OWASP initiative, <br><span style="white-space:pre-wrap">    </span>2) other free open-source tools because they align closely with OWASP principles, <br>
<span style="white-space:pre-wrap">     </span>3) free closed-source tools because they kinda align with OWASP principles,<br><span style="white-space:pre-wrap">   </span>4) commercial tools, if there is no other way to demonstrate the test. <br>
I don't believe we should not mention commercial tools at all. Vendors are not the devil. They are just folks offering tools in exchange for money. As long as we announce our interests in our decision making processes we should be okay. <br>
<br>Whatever changes you make, <i>please collaborate</i> with the article author/reviewer/s listed in the Paragraph Management spreadsheet.<br><br>On the topic of tools, it would be great to see demonstrations of testing tools against WebGoat, DVWA, etc so the Guide can better guide testers during training and testing. If you've already done something like this would you be interested in adding that to the Guide as well?<br>
<br>regards,<br>  Andrew<br><br><div>Canberra, Australia Chapter Leader<br></div>Testing Guide Project Co-leader<br><br><br><hr><div style="font-size:12pt;font-style:normal;font-family:Helvetica,Arial,sans-serif;text-decoration:none;font-weight:normal">
<b>From: </b>"psiinon" <<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>><br><b>To: </b>"owasp-testing" <<a href="mailto:owasp-testing@lists.owasp.org" target="_blank">owasp-testing@lists.owasp.org</a>><br>
<b>Sent: </b>Sunday, 4 August, 2013 11:59:30 PM<br><b>Subject: </b>[Owasp-testing] Testing Guide : Tools sections<div><div class="h5"><br><br><div dir="ltr"><div><div><div><div>I'm planning on going through the guide adding ZAP to the relevant tools sections, and will try and add other tools that I know are definitely relevant .<br>
<br></div>Is there a preferred format?<br>
<br></div>There seem to be verious formats used for similar tools, eg:<br><ul><li> Web Proxy (<i>Burp Suite</i><a rel="nofollow" href="http://portswigger.net" target="_blank">[6]</a>, <i>Paros</i><a rel="nofollow" href="http://www.parosproxy.org/index.shtml" target="_blank">[7]</a>, <i>WebScarab</i><a rel="nofollow" href="http://www.owasp.org/index.php/OWASP_WebScarab_Project" target="_blank">[8]</a>) 
</li><li> OWASP WebScarab: <a href="https://www.owasp.org/index.php/OWASP_WebScarab_Project" title="OWASP WebScarab Project" target="_blank">OWASP_WebScarab_Project</a></li><li> WebScarab Spider <a rel="nofollow" href="http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project</a></li>

</ul><p>I was thinking of adding a small amount of info to indicate which components of ZAP are relevant, but nothing that would exceed one line, eg:</p><ul><li> OWASP ZAP: <a href="https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project" target="_blank">OWASP Zed Attack Proxy Project</a> - Active scanner and fuzzer
</li></ul><p>That OK?<br></p>Should tools be listed in any sort of order, eg alphabetical? Or OWASP ones first?<br></div>Should only free open source tools be included or are commercial tools acceptable?<br><br></div>Cheers,<br>

<br>Simon<br clear="all"><div><div><div><div><div><div><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>
</div></div></div></div></div></div></div>
<br></div></div>_______________________________________________<br>Owasp-testing mailing list<br><a href="mailto:Owasp-testing@lists.owasp.org" target="_blank">Owasp-testing@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
</div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br>
</div>