#owasp — Public Fediverse posts

‪OWASP Ottawa‬
‪@owaspottawa.bsky.social‬
· 2m
🚨 OWASP Ottawa May 2026 Meetup - with Jainil Malaviya and Kira Evans

Kira will speak about the power of volunteering, building connections, and taking action with the Ada Sisterhood.

Jainil Malaviya how a malware analyst would approach the self-replicating worm called Shai-Hulud

📍 Location: 150 Louis-Pasteur Private, University of Ottawa, Room 117
📅 Date: May 20, 2026
⏰ Time: 6:00 PM EST - Arrival, networking, & pizza! 🍕
6:30 PM EST - Technical Talks

#OWASP #Ottawa #Cybersecurity #Malware #InfoSec #AppSec #Tech

Could something be skipping though the "customer interaction" points in your application?

BOT3 from the OWASP Cornucopia Companion illustrates how automation at scale can be used on gambling sites to make bets fast & furiously, skipping past all the checks and balances, warnings, up-selling and regulatory information.

Read the whole scenario at https://cornucopia.owasp.org/edition/companion/BOT3/1.0/en

Details of new release at https://cornucopia.owasp.org/news/20260508-companion-edition

@owasp #appsec #devops #devsecops #threatmodelling #eop #owasp #cornucopia

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ-CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS. Всё это примеры того, что может происходить, когда у ИИ-агента есть руки и мы забываем, на чьей машине эти руки действуют. Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

https://habr.com/ru/companies/pt/articles/1030532/

#ИИагенты #безопасность #OWASP #supply_chain #Claude_Code #prompt_injection #DevSecOps

Are you responsible for all the battles? Then stop and let the monsters rampage a bit. Remember, you can always swoop down and take out the final boss before the credits roll at the end of the movie. #appsec #owasp #llm #agentic #ai #security #cloud #devops #threatmodeling #agile #games

#OWASP #Ottawa is proud to announce that Software Secured is our May Meetup Pizza Sponsor.

Thank you for supporting our local OWASP Chapter.

🍕 👍 🙏

#appsec #infosec

www.softwaresecured.com

Open source and free. Download print-ready files and play Cornucopia together, browse the cards online, or play games online with remote team members.

https://cornucopia.owasp.org

https://copi.owasp.org

If you prefer, printed decks are available to purchase from a vendor as a dual-packaged Website App Edition x Companion Edition combination set:

https://cybersecgames.com/pages/owasp-cornucopia-threat-modeling-collection

@owasp #owasp #cornucopia #eop #stride #threatmodelling #devops #devopsec #appsec #infosec

2/2

The new Companion Deck for OWASP Cornucopia includes six novel suits to assist threat modelling of Agentic AI, Cloud, DevOps, Frontend, LLM and Automation. The suits can be used alone or in combination with suits from either existing Cornucopia decks: the Website App Edition or Mobile App Edition. My main contribution to this is the Automated Threats (BOT) suit.

https://cornucopia.owasp.org/news/20260508-companion-edition

@owasp #owasp #cornucopia #eop #stride #threatmodelling #devops #devopsec #appsec #infosec

1/2

Yes! It’s time to party! The OWASP Foundation is celebrating 25 incredible years of open source security. That’s why OWASP Cornucopia is launching its 25th anniversary edition. #appsec #security #owasp #cornucopia #llm #agentic_ai #devops #cloud #frontend #threatmodeling

Blog: Automating OWASP PTK with ZAP (Phase 1)
You can now automate OWASP Pentestkit using ZAP
https://www.zaproxy.org/blog/2026-05-06-automating-owasp-ptk-with-zap-phase-1/
#zaproxy #owasp-ptk #appsec

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

Vulnerabilidades en Servidores M…

El marco de seguridad MCP (Microcontroller Protection) de OWASP se centra en identificar y mitigar las vulnerabilidades críticas en servidores que ejecutan código de microcontroladores.

https://norvik.tech/news/analisis-owasp-mcp-top-10

#Technology #Mcp #Owasp #Vulnerabilidades #Seguridad #NorvikTech #DesarrolloSoftware #TechInnovation

Governare le chiamate MCP in .NET con l’Agent Governance Toolkit

https://spcnet.it/governare-le-chiamate-mcp-in-net-con-lagent-governance-toolkit/

Advanced Subdomain Discovery with Amass and Cheat Sheet

In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/

#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty

Advanced Subdomain Discovery with Amass and Cheat Sheet

In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/

#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty

Advanced Subdomain Discovery with Amass and Cheat Sheet

In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/

#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

#owasp #antwerp #toreon

#owasp #antwerp #kdg #groenplaats

#owasp #antwerp #kdg #groenplaats

#owasp #antwerp #kdg #groenplaats

#owasp #antwerp #kdg #groenplaats

#owasp #antwerp #kdg #groenplaats

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

We’re thrilled to welcome Missie Lindsey as OWASP’s new Director of Corporate Relations,
to help us grow corporate sponsorships and support OWASP’s global open-source security mission. 🎉

Join us in welcoming her to the community!

https://owasp.org/blog/2026/04/27/missie-lindsey-corporate-relations-hired.html

#OWASP #AppSec #OpenSource #NewAppointment

🎊 Sponsor Appreciation Post - @zaproxy 🎊

OWASP Ottawa is a community-driven, volunteer-run organization that aims to bring the cyber community in Ottawa together. These events are often made possible by the generosity of our sponsors, who sponsor the venue, food, beverages, and SWAG.

@zaproxy sponsored the pizzas for our April 2026 meetup! This generosity was greatly appreciated by OWASP Ottawa and the attendees.

🔗: https://www.zaproxy.org/

#owasp #ottawa #zap #cybersecurity #community

🎊 Sponsor Appreciation Post - @zaproxy 🎊

OWASP Ottawa is a community-driven, volunteer-run organization that aims to bring the cyber community in Ottawa together. These events are often made possible by the generosity of our sponsors, who sponsor the venue, food, beverages, and SWAG.

@zaproxy sponsored the pizzas for our April 2026 meetup! This generosity was greatly appreciated by OWASP Ottawa and the attendees.

🔗: https://www.zaproxy.org/

#owasp #ottawa #zap #cybersecurity #community

🎊 Sponsor Appreciation Post - @zaproxy 🎊

OWASP Ottawa is a community-driven, volunteer-run organization that aims to bring the cyber community in Ottawa together. These events are often made possible by the generosity of our sponsors, who sponsor the venue, food, beverages, and SWAG.

@zaproxy sponsored the pizzas for our April 2026 meetup! This generosity was greatly appreciated by OWASP Ottawa and the attendees.

🔗: https://www.zaproxy.org/

#owasp #ottawa #zap #cybersecurity #community

🎊 Sponsor Appreciation Post - @zaproxy 🎊

OWASP Ottawa is a community-driven, volunteer-run organization that aims to bring the cyber community in Ottawa together. These events are often made possible by the generosity of our sponsors, who sponsor the venue, food, beverages, and SWAG.

@zaproxy sponsored the pizzas for our April 2026 meetup! This generosity was greatly appreciated by OWASP Ottawa and the attendees.

🔗: https://www.zaproxy.org/

#owasp #ottawa #zap #cybersecurity #community

🎊 Sponsor Appreciation Post - @zaproxy 🎊

OWASP Ottawa is a community-driven, volunteer-run organization that aims to bring the cyber community in Ottawa together. These events are often made possible by the generosity of our sponsors, who sponsor the venue, food, beverages, and SWAG.

@zaproxy sponsored the pizzas for our April 2026 meetup! This generosity was greatly appreciated by OWASP Ottawa and the attendees.

🔗: https://www.zaproxy.org/

#owasp #ottawa #zap #cybersecurity #community

Join OWASP Global AppSec EU 2026 in Vienna, June 22–26, for hands-on training, epic talks, and networking with the best community vibes! 🚀

Secure your spot 👉 https://owasp.glueup.com/event/owasp-global-appsec-eu-2026-vienna-austria-162243/home.html

#OWASP #CyberSecurity #InfoSec #FridayFeeling

📶 Web application security requires multiple layers.

OWASP CRS provides rule-based protection, while CrowdSec adds real-time, collaborative threat intelligence.

Combining both helps defend against both known and evolving threats.

Read more:
https://www.crowdsec.net/blog/protecting-your-web-applications-with-owasp-crs-and-crowdsec

#CyberSecurity #OWASP #WAF #Infosec

https://www.tkhunt.com/2287450/ SP-047 徹底解説：エンタープライズ自律型AIエージェント セキュリティフレームワーク｜7統制領域×35 NIST統制×4大実例 #AgenticAi #AI #AIAgent #AIGovernance #AIエージェント #AIガバナンス #AIセキュリティ #AmazonQ #ArtificialIntelligence #ASI01 #ASI02 #ASI09 #CISO #Copilot #Cybersecurity #EchoLeak #LangChain #LangGraph #MITREATLAS #NIST80053 #OpenSecurityArchitecture #OWASP #Replit #SP047 #TrustAISecurity #エージェントセキュリティ #エージェント型AI #エンタープライズセキュリティ #サイバーセキュリティ #プロンプトインジェクション #人工知能 #自律型AI

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp