<div dir="ltr">Hi, Jeff.<div>I agree with you.</div><div>I think that this could be covered under the Information Gathering section. Simple test guidelines to instruct how to get data.</div><div>Regards.</div><div><br></div><div>Denis Mello</div><div class="gmail_extra"><br><div class="gmail_quote">2015-03-24 9:00 GMT-03:00  <span dir="ltr"><<a href="mailto:owasp-testing-request@lists.owasp.org" target="_blank">owasp-testing-request@lists.owasp.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Send Owasp-testing mailing list submissions to<br>
        <a href="mailto:owasp-testing@lists.owasp.org">owasp-testing@lists.owasp.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:owasp-testing-request@lists.owasp.org">owasp-testing-request@lists.owasp.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:owasp-testing-owner@lists.owasp.org">owasp-testing-owner@lists.owasp.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Owasp-testing digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Addition of CSS to (OTG-INFO-005) (Jeff Sergeant)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 24 Mar 2015 10:44:19 +0000<br>
From: Jeff Sergeant <<a href="mailto:jeffuk@gmail.com">jeffuk@gmail.com</a>><br>
To: <a href="mailto:owasp-testing@lists.owasp.org">owasp-testing@lists.owasp.org</a><br>
Subject: [Owasp-testing] Addition of CSS to (OTG-INFO-005)<br>
Message-ID:<br>
        <CAAHcKrqfHSh=<a href="mailto:eqm2iXGN6PfJK70P15GsaqmNudxjsCwuGJhR9A@mail.gmail.com">eqm2iXGN6PfJK70P15GsaqmNudxjsCwuGJhR9A@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Good Morning!<br>
<br>
I have recently seen a few applications where the stylesheets give away<br>
information that they probably shouldn't, and are useful to a tester.<br>
<br>
E.g.  I'm looking at a site now where the admin login page has a<br>
'default.css'  which is evidently used for unauthenticated and<br>
authenticated users, and gives me an insight into the full structure of the<br>
application behind the login.  By virtue of referring to classes like<br>
.AddUser .RemoveUser .DeletePage etc.    And with reference to icons like<br>
(images/newProduct.png) etc.<br>
<br>
I've seen cases where it's possible to identify filenames this way,<br>
knowing that admin_portal.php is the login page, and seeing<br>
.admin_portal{...} .admin_home{...} .admin_settings{...}<br>
.admin_new_user{...} in the CSS allows the tester to infer the existence of<br>
admin_home.php, .admin_settings.php  etc. without actually having to log in.<br>
<br>
I think this would fit well in OTG-INFO-005;  any thoughts?<br>
<br>
Regards,<br>
<br>
Jeff Sergeant<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://lists.owasp.org/pipermail/owasp-testing/attachments/20150324/16cb3ec1/attachment-0001.html" target="_blank">http://lists.owasp.org/pipermail/owasp-testing/attachments/20150324/16cb3ec1/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-testing</a><br>
<br>
<br>
End of Owasp-testing Digest, Vol 84, Issue 3<br>
********************************************<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">To breath, is a consequence of... Running! Run Fast!<br><br>There is no glory in practice, but without practice there is no glory!</div>
</div></div>