<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.18.3">
</HEAD>
<BODY>
On Wed, 2009-11-18 at 10:00 -0700, Andre Gironda wrote:<BR>
<BR>
[snip]
<BLOCKQUOTE TYPE=CITE>
<PRE>

OWASP T10 is mostly a marketing tool. What SANS/CWE Top 25 and many
other marketing tools don't show is that the problems aren't meant to
be solved one-at-a-time. One vulnerability isn't as &quot;prevalent&quot; or
&quot;severe&quot; as any other, especially because multiple vulnerabilities are
almost always present in any given large web application.

</PRE>
</BLOCKQUOTE>
It might be most a marketing tool, but don't forget that it's referenced in the PCI requirements (effectively co-opting the OWASP Top 10 into that set of requirements). Those requirements drive huge decisions (and impact) for businesses.<BR>
<BR>
I recognize that the OWASP Top 10 should be shaped with this as a constraint, but it's certainly a consideration.<BR>
<BR>
Cheers,<BR>
Dave.
</BODY>
</HTML>