<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="word-wrap:break-word"><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto"><div id="bloop_customfont" style="margin:0px">Hi,</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">I just went through the OWASP Top 10 2017 RC1.  I really like the addition of A7 and A10 as well as the addition of section "+T: What's Next for Security Testing".  However, I had a few comments:</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 7 - T10 OWASP Top 10 Application Security Risks - 2017</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">In A4, I would remove the word "authenticated" in "Restrictions on what authenticated users are allowed" as unauthenticated users can also exploit IDORs and function level access controls (although it is more common for this to be an issue with authenticated users).</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">In A6, I think you should replace browser with the client as the client may be other applications, not just browsers (unless this is intentional because you are isolating API-related issues to A10)</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 8 - A1 Injection</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">I think dropping the mention of OWASP ESAPI would be better as even its authors are no longer recommending its use (<a href="https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API#tab=Should_I_use_ESAPI_3F">https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API#tab=Should_I_use_ESAPI_3F</a>) in addition to the following: "Given that I'm the ESAPI project co-lead, you might think I'd be more inclined to recommend ESAPI, but I don't except in rare cases" - <a href="http://lists.owasp.org/pipermail/esapi-dev/2017-February/002656.html">http://lists.owasp.org/pipermail/esapi-dev/2017-February/002656.html</a> </div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">I think that mention of ESAPI should be removed across the standard.</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 9 - A2 Broken Authentication & Session Management</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">In the "How Do I Prevent This?", I would probably add the recommendation to use well known and tested frameworks that tackle these issues (Apache Shiro, Spring Security, etc.) instead of recommending providing an interface similar to ESAPI Authenticator and User APIs.  Almost all frameworks come wiht mature authentication and authorization frameworks that can be leveraged.  Trying to roll out your own as most development teams would probably develop in-consistent and in-secure interfaces</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 10 - A4 Broken Access Control</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">Again, "authorized users" is used.  I think removing the authorized is better to indicate that this is a more generic problem</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">Again, my recommendation would be to steer away from ESAPI for the reasons mentioned earlier on and to instead leverage known frameworks that address these issues</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 12 - A6 Sensitive Data Exposure</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">In the "How Do I Prevent This?", I would add not to use the default crypto keys used by some frameworks and to generate your own.  Many frameworks allow a single secret key to generate "recover my account" URLs, encrypt data stored on the client side, etc.  These aren’t “weak” keys, but they are known keys that can be abused by an attacker</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 14 - Insufficient Attack Protection</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">I think that this section addresses an issue that has been missing for a long time.  I would probably rename this section to Detection and Prevention and expand on logging of all sensitive function access, failed requests due to malicious input, etc. and not just rely on a WAF or RASP (although doing so is the recommended approach for virtual patching).  Prevention is ideal, but detection is a must.  Also, some issues related to attack prevention such as IDOR abuse (if the attacker rate limits themselves) won't easily be detected by WAFs, etc. because the input itself is not malicious.</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 18 What's Next for Developers</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">I would remove the mention of a reference model of ESAPI as mentioned previously</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">pg. 19 "+T: What's Next for Security Testing"</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">Unfortunately, most people won't read the standard to the end although this section and other sections after the Top 10 provide valuable direction.  Perhaps adding a mention of it in the Foreword would give it the necessary visibility.</div><div id="bloop_customfont" style="margin:0px"><br></div><div id="bloop_customfont" style="margin:0px">Thanks.</div><div><br></div></div> <br> <div id="bloop_sign_1491879233287378176" class="bloop_sign"><div style="font-family:helvetica,arial;font-size:13px">-- <br>Osama Elnaggar<br></div></div> <br><p class="airmail_on">On April 11, 2017 at 12:43:54 AM, Dave Wichers (<a href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>) wrote:</p> <blockquote type="cite" class="clean_bq"><span><div><div></div><div>


<title></title>


<div dir="ltr">
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="gmail-il">OWASP</span> Leaders!</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
The <span class="gmail-il">Release</span> <span class="gmail-il">Candidate</span> for the <span class="gmail-il">OWASP</span> <span class="gmail-il">Top</span> <span class="gmail-il">10</span> –
2017 is now available! (Attached)</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoNoSpacing" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="gmail-m_1733368279678765635MsoHyperlink" style="color:blue;text-decoration-line:underline"><b><a href="https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf" target="_blank">It’s also available for <span style="font-size:10pt;font-family:verdana,sans-serif">Download
here</span></a></b></span></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span style="font-size:11pt"> </span><br></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Please forward to all the developers and development teams you
know!! I’d love to get feedback from them too, and to start
immediately raising awareness about what’s changed in this update
to the OWASP <span class="gmail-il">Top</span> <span class="gmail-il">10</span>. The
primary change is the addition of two new categories:</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<br></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A7:
Insufficient Attack Protection</b></span></font></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A10: Underprotected
APIs</b></span></font></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><span style="font-family:calibri,sans-serif;font-size:11pt"> </span><br></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
We plan to <span class="gmail-il">release</span> the
final version of the <span class="gmail-il">OWASP</span> <span class="gmail-il">Top</span> <span class="gmail-il">10</span> -
2017 in July or Aug. 2017 after a public comment period ending June
30, 2017.</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Constructive comments on this <span class="gmail-il">OWASP</span> <span class="gmail-il">Top</span> <span class="gmail-il">10</span> -
2017 <span class="gmail-il">Release</span> <span class="gmail-il">Candidate</span> should be forwarded via email
to <a href="mailto:OWASP-TopTen@lists.owasp.org" target="_blank"><span class="gmail-il">OWASP</span>-TopTen@lists.<span class="gmail-il">owasp</span>.org</a>. Private comments may be sent
to <a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@<span class="gmail-il">owasp</span>.org</a> .  Anonymous comments are
welcome.  All  non-private comments will be catalogued
and published at the same time as the final
public <span class="gmail-il">release</span>.  Comments
recommending changes to the items listed in the <span class="gmail-il">Top</span> <span class="gmail-il">10</span> should include a complete suggested list
of changes, along with a rationale for any changes. All comments
should indicate the specific relevant page and section.</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Your feedback is critical to the continued success of
the <span class="gmail-il" style="font-size:11pt">OWASP</span><span style="font-size:11pt"> </span><span class="gmail-il" style="font-size:11pt">Top</span><span style="font-size:11pt"> </span><span class="gmail-il" style="font-size:11pt">10</span><span style="font-size:11pt"> Project. Thank you all for your dedication
to improving the security of the world’s software for
everyone.</span></p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Thanks, Dave</p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="gmail-il">OWASP</span> <span class="gmail-il">Top</span> <span class="gmail-il">10</span> Project Lead</p>
</div>


_______________________________________________
<br>Owasp-topten mailing list
<br><a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a>
<br><a href="https://lists.owasp.org/mailman/listinfo/owasp-topten">https://lists.owasp.org/mailman/listinfo/owasp-topten</a>
<br></div></div></span></blockquote></body></html>