<span style="font-family: Arial; font-size: 13px;">On 17/2/2013 at 9:47 PM, "Chris Eng" <ceng@Veracode.com> wrote:<br><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div><div><style type="text/css"></style></div><div lang="EN-US"><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11pt;color:#1F497D;">It’s also worth thinking about who’s using the OWASP Top Ten.  In theory it’s enterprise developers.  In practice it’s enterprise risk management (CISO/CIO), some enterprise developers, and some penetration testers (if they’re being used to satisfy PCI requirements, for example).  Neither of those groups includes Bob’s Open Source PHP Guestbook.  </span></p></div></div></div></blockquote><font color="#1f497d"><span style="font-size: 15px;"><div><font color="#1f497d"><span style="font-size: 15px;">An example of Joomla usage in enterprise environment</span></font><font color="#1f497d" style="font-size: 13px;"><span style="font-size: 15px;"> </span></font><a href="http://www.veracode.com/index.php?option=com_sefservicemap&Itemid=68">http://www.veracode.com/index.php?option=com_sefservicemap&Itemid=68</a></div></span></font><div><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div lang="EN-US"><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11pt;color:#1F497D;">While there is some truth to the Imperva post, measuring the percentage of server-side programming languages “out there on the Internet” isn’t exactly the most accurate way to measure enterprise risk either.  Many or most of those PHP apps may not be subject to any regulatory requirements and most of them probably don’t house any sensitive data.</span></p></div></div></blockquote><font color="#1f497d"><span style="font-size: 15px;">And these statements are based on what?<br></span></font><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div lang="EN-US"><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11pt;color:#1F497D;">  In other words there’s a lot of RFI out there in places that are pretty irrelevant.  Our (Veracode) data is a reflection of what enterprises are using, not the sum total of all servers on the Internet.</span></p></div></div></blockquote><font color="#1f497d"><span style="font-size: 15px;">What I did provide though was measure of attack methods used to compromise real websites on Internet. File Inclusion remains the most prevalent cause.</span></font><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div lang="EN-US"><div class="WordSection1"><p class="MsoNormal"><span style="font-size:11pt;color:#1F497D;">Incidentally, in the 2010 Top Ten, RFI was included in part of 2010-A4 (Insecure Direct Object References) according to the CWE hierarchy. So it should continue to be included in audit criteria as part of 2013-A4. Despite the Imperva post, it absolutely is part of the OWASP Top Ten, just not one of the top-level categories. To me this seems appropriate.</span></p></div></div></blockquote><font color="#1f497d"><span style="font-size: 15px;">OWASP Top 10 2010 item A4 itself has two CWE references, none of them related to File Inclusion:</span></font><blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div lang="EN-US"><div class="WordSection1"><div></div></div></div></blockquote><div><ul><li><span style="font-size: 15px; color: rgb(31, 73, 125);">CWE-639: Authorization Bypass Through User-Controlled Key</span></li><li><span style="font-size: 15px; color: rgb(31, 73, 125);">CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')</span></li></ul></div><div><span style="font-size: 15px; color: rgb(31, 73, 125);">There's a separate CWE entry on MITRE page that goes into more details:</span></div><div><font color="#1f497d"><span style="font-size: 15px;"><br></span></font></div><div><ul><li><span style="font-size: 15px; color: rgb(31, 73, 125);">CWE-813: OWASP Top Ten 2010 Category A4 - Insecure Direct Object References</span></li></ul></div><div><span style="font-size: 15px; color: rgb(31, 73, 125);">and it contains a FI related attack vector:</span></div><div><font color="#1f497d"><span style="font-size: 15px;"><br></span></font></div><div><ul><li><span style="font-size: 15px; color: rgb(31, 73, 125);">CWE-434: Unrestricted Upload of File with Dangerous Type</span></li></ul></div><div><font color="#1f497d"><span style="font-size: 15px;"><br></span></font></div><div><font color="#1f497d"><span style="font-size: 15px;">but it's not FI itself, which has a separate entry:</span></font></div><div><font color="#1f497d"><span style="font-size: 15px;"><br></span></font></div><div><ul><li><span style="font-size: 15px; color: rgb(31, 73, 125);">CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')</span></li></ul><div><font color="#1f497d"><span style="font-size: 15px;"><br></span></font></div></div></div></span>