<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Segoe UI";
        panose-1:2 11 5 2 4 2 4 2 2 3;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.E-MailFormatvorlage18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.E-MailFormatvorlage19
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="DE" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Hello,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I like the idea (I had this in mind as well), but I suggest to combine all test cases that check server headers into one
 test item. Except headers concerned with cross-domain/-origin policies, this is a specific issue that has (and deserves) its own test item. Moreover, I propose to move the check for cache control headers to the header checks as well, right now this is in AUTHN
 where it is IMHO misplaced. (My take on AUTHN is that it should be concerned strictly with the authentication and account recovery processes.)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Best Regards<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">--------------------------------------------------------<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">ISMS ready2go  -   Mit dem Secorvo "Komplettsystem" in 
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">k├╝rzester Zeit zur Zertifizierung:
<a href="http://www.ISMSready2go.de"><span style="color:#0563C1">www.ISMSready2go.de</span></a><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">--------------------------------------------------------<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Dr. Safuat Hamdy<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Security Consulting<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Secorvo Security Consulting GmbH<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Ettlinger Strasse 12-14, D-76137 Karlsruhe<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Tel. +49 721 255171-304, Fax +49 721 255171-100<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">safuat.hamdy@secorvo.de, http://www.secorvo.de<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">PGP: 6A83 EC49 8474 D77C 1258  AE91 4BB4 8DEE 952A 2506<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">   
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Mannheim HRB 108319, Geschaeftsfuehrer: Dirk Fox<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Von:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> owasp-testing-bounces+safuat.hamdy=secorvo.de@lists.owasp.org [mailto:owasp-testing-bounces+safuat.hamdy=secorvo.de@lists.owasp.org]
<b>Im Auftrag von </b>Tal Argoni<br>
<b>Gesendet:</b> Mittwoch, 9. August 2017 22:10<br>
<b>An:</b> owasp-testing@lists.owasp.org; Jim Manico <jim@owasp.org>; Matteo Meucci <matteo.meucci@owasp.org><br>
<b>Betreff:</b> [Owasp-testing] New testing cases proposal for section: 4.3 Configuration and Deployment Management Testing<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Hi,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">I propose to add to version 5 new test cases based on OWASP Secure Headers Project: <a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Secure_Headers_Project</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">What do you think ?<o:p></o:p></p>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style="width:248.0pt;border-collapse:collapse">
<tbody>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">Response Headers<o:p></o:p></span></p>
</td>
<td width="132" style="width:99.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">OTG test<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:33.0pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#hsts"><span style="font-family:"Segoe UI",sans-serif">HTTP Strict Transport Security (HSTS)</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/Test_HTTP_Strict_Transport_Security_(OTG-CONFIG-007)" title="Test HTTP Strict Transport Security (OTG-CONFIG-007)">(OTG-CONFIG-007)</a><o:p></o:p></span></p>
</td>
</tr>
<tr style="height:33.0pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#hpkp"><span style="font-family:"Segoe UI",sans-serif">Public Key Pinning Extension for HTTP (HPKP)</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-010)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xfo"><span style="font-family:"Segoe UI",sans-serif">X-Frame-Options</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-011)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xxxsp"><span style="font-family:"Segoe UI",sans-serif">X-XSS-Protection</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-012)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xcto"><span style="font-family:"Segoe UI",sans-serif">X-Content-Type-Options</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-013)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#csp"><span style="font-family:"Segoe UI",sans-serif">Content-Security-Policy</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-014)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:33.0pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xpcdp"><span style="font-family:"Segoe UI",sans-serif">X-Permitted-Cross-Domain-Policies</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:33.0pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-015)<o:p></o:p></span></p>
</td>
</tr>
<tr style="height:16.5pt">
<td width="199" style="width:149.0pt;padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt"><a href="https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#rp"><span style="font-family:"Segoe UI",sans-serif">Referrer-Policy</span></a><o:p></o:p></span></p>
</td>
<td style="padding:0cm 0cm 0cm 0cm;height:16.5pt">
<p class="MsoNormal"><span style="font-size:9.5pt">(OTG-CONFIG-016)<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p><b><span style="font-family:"Arial",sans-serif">Cheers</span></b><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif">,</span></b><o:p></o:p></p>
<p><b><span style="font-family:"Arial",sans-serif">Tal Argoni,</span></b><span style="font-family:"Arial",sans-serif"> Co-Founder & Senior Application Security Expert</span><span style="font-size:9.5pt"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif">       <span style="border:solid windowtext 1.0pt;padding:0cm"><img border="0" width="96" height="26" id="_x0000_i1025" src="cid:image001.jpg@01D311C6.0032C380" alt="Das Bild wurde vom Absender entfernt."></span> <b>"Redefining
 Cyber Safety"</b></span><span style="font-size:9.5pt"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt"><o:p> </o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><b><span style="font-family:"Arial",sans-serif">Mobile,</span></b><span style="font-family:"Arial",sans-serif"> </span><span style="font-size:9.5pt"><a href="tel:%2B972-58-778-1213" target="_blank"><span style="font-size:12.0pt;font-family:"Arial",sans-serif;color:#1155CC">+972-58-778-1213</span></a><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt"><o:p> </o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif">eMail,</span></b><span style="font-size:10.0pt;font-family:"Arial",sans-serif"> <span style="color:blue"><a href="mailto:tal@triadsec.com" target="_blank"><span style="color:#1155CC">Tal@triadsec.com</span></a></span></span><span style="font-size:9.5pt"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt"><o:p> </o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Linkedin,</span></b><span style="font-size:10.0pt;font-family:"Arial",sans-serif"> <span style="color:blue"><a href="https://www.linkedin.com/in/talargoni" target="_blank"><span style="color:#1155CC">https://www.linkedin.com/in/talargoni</span></a></span></span><span style="font-size:9.5pt"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:9.5pt"><o:p> </o:p></span></p>
</div>
</div>
</div>
</div>
</blockquote>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif">Website,</span></b><span style="font-size:10.0pt;font-family:"Arial",sans-serif"> <a href="http://www.triadsec.com/" target="_blank"><span lang="EN-US">www.triadsec.com<br>
</span></a></span><span style="font-size:9.5pt"><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>