<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="word-wrap:break-word"><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto"><div id="bloop_customfont">Jeremiah's tweet regarding A0 isn't actionable by developers and is more in the domain of operations or governance whereas A7 is.  A7 just needs to be re-worded and I think split up into:</div><div id="bloop_customfont"><br></div><div id="bloop_customfont">* as a developer, how are you going to detect attacks?</div><div id="bloop_customfont">* as a developer, how are you going to protect against detected attacks?</div><div id="bloop_customfont">* as a developer, how are you going to enable quick patching when either your application is vulnerable or the 3rd party libraries you use are?</div><div id="bloop_customfont"><br></div><div id="bloop_customfont">For the first, a developer could take the initiative to log all sensitive actions in the application + things that violate the security policy defined when they tackled the other OWASP Top 10 areas.  They can then decide to output this in JSON so they can be easily consumed by logging solutions within the environment and to feed their SOC teams with the necessarily visibility.</div><div id="bloop_customfont"><br></div><div id="bloop_customfont">Tackling protection is more difficult for a developer but there are libraries that developers can use to help protect against brute forcing.  These won't protect against all attacks but can at least protect against things such as password brute-force attacks quite easily.  At the very least, the developer can ensure that these will be detected and that they are providing their security operations teams with the necessary logs to detect these attacks.</div><div id="bloop_customfont"><br></div><div id="bloop_customfont">The last one is probably the most difficult for a developer to tackle as this is border-line outside the scope of the developer.  But then again, the "Security Misconfiguration" and "Using Components with Known Vulnerabilities" are also borderline outside the scope of the developer.  A developer may launch their application with components that are up-to-date and don't have know vulnerabilities but this isn't going to last for long.  Slide 13 from Jeremiah's talk about Cyber Insurance (<a href="https://www.blackhat.com/docs/us-16/materials/us-16-Grossman-An-Insiders-Guide-To-Cyber-Insurance-And-Security-Guarantees.pdf">https://www.blackhat.com/docs/us-16/materials/us-16-Grossman-An-Insiders-Guide-To-Cyber-Insurance-And-Security-Guarantees.pdf</a>) covers the average time to fix in days for Known web vulnerabilities found with the average around 130 days.  So this last point is basically saying: bugs will be found on your site.  How quickly will you patch them (either permanently in the code if the vulnerability is in your code and not a 3rd party component or virtually using a WAF, RASP, etc. until it can be fixed and a new deployment rolled out)?  Having this issue on the table and addressed by developers, project managers, operations, etc is great.  Security vulnerabilities can be given greater weight and teams can try to streamline the process for developing, testing, and rolling out patches.  WAFs and RASP can add an additional layer of security until these issues are patched in the code.  Not having something like this is the reason that we see 100+ days of exposures for known web applications as highlighted in the presentation above.</div><div id="bloop_customfont"><br></div><div id="bloop_customfont">Thanks.</div></div> <br> <div id="bloop_sign_1492043306735138048" class="bloop_sign"><div style="font-family:helvetica,arial;font-size:13px">— </div><div style="font-family:helvetica,arial;font-size:13px"><br>Osama Elnaggar<br></div></div> <br><p class="airmail_on">On April 13, 2017 at 12:35:39 AM, Dave Wichers (<a href="mailto:dave.wichers@owasp.org">dave.wichers@owasp.org</a>) wrote:</p> <blockquote type="cite" class="clean_bq"><span><div><div></div><div>


<title></title>


<div dir="ltr">The data set we collected for the 2017 Top 10 and
the basic analysis we did on it is in this folder on
github: <a href="https://github.com/OWASP/Top10/blob/master/2017/datacall/">https://github.com/OWASP/Top10/blob/master/2017/datacall/</a>.
Its a simple excel spreadsheet.
<div><br></div>
<div>And both A7 and A10 are a bit complex (or at least new), so we
plan to write or augment some articles on the OWASP Wiki itself to
provide further explanation. A single page is very hard to get all
your ideas/points across for a complex category clearly (esp.
A7).</div>
<div><br></div>
<div>-Dave</div>
<div><br></div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Wed, Apr 12, 2017 at 5:09 AM, psiinon
<span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>Another concern I have is the transparency of this
project.<br></div>
Who made the decisions? Was it a couple of individuals? A
team?<br>
And on what basis were the decisions made?</div>
<div><br></div>
I'm not criticizing how it was done, partly because it seems to be
very opaque :) I've certainly not seen any meaningful discussions
about the doc on this list before the RC1 was released.<br></div>
And I'm not suggesting it actually needs to be changed, eg by
putting it to a common vote either - that brings its own set of
problems ;)<br></div>
However the categories and ordering (still) look to me to be very
subjective. There may well be data behind them but its the
interpretation that is key.<br></div>
I think that a document explaining the process and thoughts behind
the interpretation would really help - I dont think its needs to be
in the Top 10 doc but I think this info should be there for those
of us who care about it. I also want to see a summary of the data
collected.<br></div>
How can we review any of the RCs if we dont understand on what
basis they were created?<br>
<br></div>
Cheers,<br>
<br></div>
Simon<br></div>
<div class="HOEnZb">
<div class="h5">
<div class="gmail_extra"><br>
<div class="gmail_quote">On Wed, Apr 12, 2017 at 8:31 AM, psiinon
<span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>
<div>
<div>
<div>As per Jeremiah's tweet <a href="https://twitter.com/jeremiahg/status/851562562634137600" target="_blank">https://twitter.com/jeremiahg/<wbr>status/851562562634137600</a>
I think one of the biggest security risks to any medium-large
organization is unknown sites / applications and
functionality.<br></div>
Not having a category like this in the Top 10 feels like a huge
omission to me.<br></div>
Who here in an organization of any non trivial size is not worried
about what they dont know has been deployed?<br>
<br></div>
Cheers,<br>
<br></div>
Simon<br></div>
<div class="gmail_extra"><br>
<div class="gmail_quote">
<div>
<div class="m_8672636120270869208h5">On Mon, Apr 10, 2017 at 3:36
PM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br></div>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div class="m_8672636120270869208h5">
<div dir="ltr">
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">
OWASP</span> Leaders!</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
The <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Release</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Candidate</span> for
the <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span> –
2017 is now available! (Attached)</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoNoSpacing" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoHyperlink" style="color:blue;text-decoration-line:underline"><b><a href="https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf" target="_blank">It’s also available for <span style="font-size:10pt;font-family:verdana,sans-serif">Download
here</span></a></b></span></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span style="font-size:11pt"> </span><br></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Please forward to all the developers and development teams you
know!! I’d love to get feedback from them too, and to start
immediately raising awareness about what’s changed in this update
to the OWASP <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span>.
The primary change is the addition of two new categories:</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<br></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A7:
Insufficient Attack Protection</b></span></font></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><font face="calibri, sans-serif"><span style="font-size:14.6667px"><b>2017-A10: Underprotected
APIs</b></span></font></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt"><span style="font-family:calibri,sans-serif;font-size:11pt"> </span><br></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
We plan to <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">release</span> the
final version of the <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span> -
2017 in July or Aug. 2017 after a public comment period ending June
30, 2017.</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Constructive comments on this <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span> -
2017 <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Release</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Candidate</span> should
be forwarded via email to <a href="mailto:OWASP-TopTen@lists.owasp.org" target="_blank"><span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">OWASP</span>-TopTen@lists.<span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">owasp</span>.or<wbr>g</a>.
Private comments may be sent to <a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@<span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">owasp</span>.org</a> . 
Anonymous comments are welcome.  All  non-private
comments will be catalogued and published at the same time as the
final public <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">release</span>. 
Comments recommending changes to the items listed in
the <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span> should
include a complete suggested list of changes, along with a
rationale for any changes. All comments should indicate the
specific relevant page and section.</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Your feedback is critical to the continued success of
the <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">OWASP</span><span style="font-size:11pt"> </span><span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">Top</span><span style="font-size:11pt"> </span><span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il" style="font-size:11pt">10</span><span style="font-size:11pt"> Project. Thank you all for your dedication
to improving the security of the world’s software for
everyone.</span></p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
Thanks, Dave</p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
 </p>
<p class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-m_1733368279678765635MsoPlainText" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:calibri,sans-serif">
<span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">
OWASP</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">Top</span> <span class="m_8672636120270869208m_-2191545971283781825m_5062059696245239400gmail-il">10</span> Project
Lead</p>
</div>
<br></div>
</div>
<span>______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>

<br></span></blockquote>
</div>
<span class="m_8672636120270869208HOEnZb"><font color="#888888"><br>
<br clear="all">
<br>
--<br></font></span>
<div class="m_8672636120270869208m_-2191545971283781825gmail_signature" data-smartmail="gmail_signature"><span class="m_8672636120270869208HOEnZb"><font color="#888888"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a>
Project leader<br></font></span></div>
</div>
</blockquote>
</div>
<br>
<br clear="all">
<br>
--<br>
<div class="m_8672636120270869208gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div>
</div>
</div>
</blockquote>
</div>
<br></div>


_______________________________________________
<br>Owasp-topten mailing list
<br><a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a>
<br><a href="https://lists.owasp.org/mailman/listinfo/owasp-topten">https://lists.owasp.org/mailman/listinfo/owasp-topten</a>
<br></div></div></span></blockquote></body></html>