<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content=text/html;charset=iso-8859-1>
<META content="MSHTML 6.00.6001.18023" name=GENERATOR></HEAD>
<BODY id=MailContainerBody 
style="PADDING-RIGHT: 10px; PADDING-LEFT: 10px; PADDING-TOP: 15px" 
bgColor=#ffffff leftMargin=0 topMargin=0 CanvasTabStop="true" 
name="Compose message area">
<DIV><FONT face=Arial size=2>Hey readers -</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>    <FONT face=Arial size=2>I've been researching the 
topic of Web App Sec "Whitebox" testing and have seen some significant failures 
and problems with the general concept in modern implementations.  That 
being said, I've written a 2-part series of articles that I thought I would ask 
for the community's response on.  Given that the first "problems" article 
has gotten some decent response I posted the follow-up tonight... if you 
have a minute and would like to provide me some feedback, please give this a 
read.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>    <FONT face=Arial size=2>Quick disclaimer, I work 
for HP ASC so the view in the "solution" is obviously working off of the 
technology advancements we're implementing (that being said, it's *not* a 
product plug, I promise).  Obviously the opinion here is mine, and no one 
else's... except where quoted.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>    <FONT face=Arial size=2>Again, I appreciate 
everyone's constructive feedback and welcome any discourse on the topic.  I 
honestly don't think we're giving this topic enough attention and hopefully this 
shines a spotlight.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2><STRONG>Part 1</STRONG></FONT></DIV>
<DIV><A 
title="http://portal.spidynamics.com/blogs/rafal/archive/2008/05/06/Static-Code-Analysis-Failures.aspx CTRL + Click to follow link" 
href="http://portal.spidynamics.com/blogs/rafal/archive/2008/05/06/Static-Code-Analysis-Failures.aspx">Static 
Code Analysis Failures</A></DIV>
<DIV><FONT face=Arial size=2><STRONG></STRONG></FONT> </DIV>
<DIV><FONT face=Arial size=2><STRONG>Part 2</STRONG></FONT></DIV><A 
title="http://portal.spidynamics.com/blogs/rafal/archive/2008/05/15/Hybrid-Analysis-_2D00_-The-Answer-to-Static-Code-Analysis-Shortcomings.aspx CTRL + Click to follow link" 
href="http://portal.spidynamics.com/blogs/rafal/archive/2008/05/15/Hybrid-Analysis-_2D00_-The-Answer-to-Static-Code-Analysis-Shortcomings.aspx">Hybrid 
Analysis - The Answer to Static Code Analysis Shortcomings</A> 
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Thanks!</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV><FONT face=Arial size=2>
<DIV><BR>__<BR>Rafal (Ralph) M. Los<BR>IT Security - Response | Mitigation | 
Strategy</DIV>
<DIV> </DIV>
<DIV>E-mail:  <EM>rafal at ishackingyou dot com</EM><BR> - 
gPGP:    0xFFC63B33<BR> - Blog:    <A 
title="http://preachsecurity.blogspot.com CTRL + Click to follow link" 
href="http://preachsecurity.blogspot.com">http://preachsecurity.blogspot.com</A></DIV>
<DIV> - Blog:    <A 
title="http://portal.spidynamics.com/blogs/rafal/ CTRL + Click to follow link" 
href="http://portal.spidynamics.com/blogs/rafal/">http://portal.spidynamics.com/blogs/rafal/</A></FONT></DIV></BODY></HTML>