<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Dear Tony, <br>
      dear all, <br>
      <br>
      independently of the other discussions about vendors and OWASP,
      I'm wondering what benefits the WAFEC sees in choosing such a tool
      from a vendor.<br>
      <br>
      As far as I know the WTF tool, it is designed to show that the
      Imperva WAF default setup does 0 % false positives and 0% false
      negatives - and I guess we all know real world examples
      challenging those results. <br>
      Neither the technical details of the test, nor the evaluation
      criteria seems to be comprehensive or balanced. <br>
      <br>
      The tool runs a number of requests and evaluates, whether the WAF
      responds or the actual server. This functionality can be
      reproduced in a few lines of code.<br>
       <br>
      All details, like the test patterns and the rating scheme, must be
      freshly created for the WAFEC purpose anyway.<br>
      <br>
      Maybe it would be easier to do a fresh start with the testing tool
      instead, including criteria like the system background  (kind of
      db, language, application server, ..) as well as non-pattern-based
      features (tls,...) and a re-test/comparison function for default
      and customized settings.<br>
      <br>
      Kind regards, <br>
      Christian Strache <br>
      <br>
      Am 20.11.2015 um 15:40 schrieb Tony Turner:<br>
    </div>
    <blockquote
cite="mid:CAFm0_mzYeG7zk+ggOMHpY1HB6FFJ9hd+=n-CnCDO-R4gQyYgAg@mail.gmail.com"
      type="cite">
      <meta http-equiv="Context-Type" content="text/html; charset=UTF-8">
      <div dir="ltr">In the interest of full disclosure I wanted to
        announce to the list that Mark Kraynak and Amichai Shulman of
        Imperva have provided us with the source code for the Imperva
        WTF WAF testing tool. Out intent is not to rebrand as a WAFEC
        tool, but to utilize as guide for the development of a separate
        independent tool. It will likely be a very different tool and I
        want to reiterate that we are not intending to re-release any of
        their work effort without significant rework or at the very
        least, a comprehensive review. At this time I don't know exactly
        what that will look like as we have not gathered requirements
        yet. 
        <div><br>
        </div>
        <div>Some of the logic and structure may remain, but I wanted to
          make sure there was transparency around this resource for
          WAFEC. If there are those on this list who have an interest in
          being actively involved in the development of this new toolset
          or have specific requirements you would like the tool to
          address, please shoot me an email and I'll get you added to
          the development team, or at the very least get your requests
          added to the list. If you are a vendor, and have specific
          concerns about this approach, please let me know. I'd love to
          get your feedback. 
          <div><br>
          </div>
          <div>I don't intend to ramp up dev efforts for a few more
            months, at least not until the actual criteria are more well
            defined for the next version but I wanted to get the ball
            rolling so we can start gathering requirements and head off
            any concerns in advance of actual dev work starting. Lastly,
            we will not release any tool publically as an official WAFEC
            deliverable until all members of the vendor subgroup have
            had a chance to review it.</div>
          <div><br>
          </div>
          <div>If you are a WAF vendor and wish to be added to the
            vendor subgroup, please shoot me an email with your contact
            information and role. We are not excluding any vendor from
            this process.</div>
          <div><br>
          </div>
          <div>As of this time, the following vendors are represented on
            our vendor subgroup:</div>
          <div>
            <ul>
              <li>Verizon<br>
              </li>
              <li>Radware</li>
              <li>Ergon<br>
              </li>
              <li>Cdnetworks<br>
              </li>
              <li>Imperva<br>
              </li>
              <li>F5<br>
              </li>
              <li>Sentrix<br>
              </li>
            </ul>
          </div>
          <div>
            <div><br>
            </div>
            -- <br>
            <div>
              <div dir="ltr">
                <div>
                  <div dir="ltr">
                    <div>
                      <div dir="ltr">
                        <div>Tony Turner<br>
                          OWASP Orlando Chapter Founder/Co-Leader</div>
                        <div>WAFEC Project Leader</div>
                        <div>STING Game Project Leader<br>
                          <a moz-do-not-send="true"
                            href="mailto:tony.turner@owasp.org"
                            target="_blank">tony.turner@owasp.org</a>
                          <div><a moz-do-not-send="true"
                              href="https://www.owasp.org/index.php/Orlando"
                              target="_blank">https://www.owasp.org/index.php/Orlando</a></div>
                        </div>
                      </div>
                    </div>
                  </div>
                </div>
              </div>
            </div>
          </div>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
wasc-wafec mailing list
<a class="moz-txt-link-abbreviated" href="mailto:wasc-wafec@lists.webappsec.org">wasc-wafec@lists.webappsec.org</a>
<a class="moz-txt-link-freetext" href="http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/wasc-wafec_lists.webappsec.org</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>