<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"Book Antiqua";
        panose-1:2 4 6 2 5 3 5 3 3 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Book Antiqua","serif";
        color:black;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Groovy.
Here you go: <a
href="http://code.google.com/p/owasp-esapi-java/wiki/esapi4java_v2_Appendix_Reporting_bugs">http://code.google.com/p/owasp-esapi-java/wiki/esapi4java_v2_Appendix_Reporting_bugs</a>
<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>I
could use a hand if you&#8217;d like to take a first crack at it, using your
samples. Or, I can do so. The goal of the current ESAPI &#8220;documentation sprint&#8221;
is to collect stuff up and write stuff down!<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Also,
for folks clicking through the TOC on the above page, I sure could use a hand
filling out the code samples in the &#8220;Sample usage&#8221; pages here: <a
href="http://code.google.com/p/owasp-esapi-java/wiki/esapi4java_v2_Sample_usage">http://code.google.com/p/owasp-esapi-java/wiki/esapi4java_v2_Sample_usage</a>
&nbsp;If interested, please email the ESAPI developer&#8217;s list.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Best,<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'>Mike
B.</span><span style='font-family:"Calibri","sans-serif";color:black'><o:p></o:p></span></p>

<p class=MsoNormal><span style='font-family:"Book Antiqua","serif";color:black'><o:p>&nbsp;</o:p></span></p>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>
esapi-user-bounces@lists.owasp.org [mailto:esapi-user-bounces@lists.owasp.org] <b>On
Behalf Of </b>Chris Schmidt<br>
<b>Sent:</b> Monday, May 03, 2010 12:54 PM<br>
<b>To:</b> Michael Coates<br>
<b>Cc:</b> ESAPI-Developers; owasp-leaders@lists.owasp.org; ESAPI-Users<br>
<b>Subject:</b> Re: [Esapi-user] [Owasp-leaders] [Esapi-dev] Crypto attack and
OWASP<o:p></o:p></span></p>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'>That was the main point that I
was trying to get across as well Michael. While notification lists are
important, having the process documented is *very* important.<br>
<br>
Examples we can go off of:<br>
<a href="http://germany.rsa.com/node.aspx?id=2928">http://germany.rsa.com/node.aspx?id=2928</a><br>
<a href="http://httpd.apache.org/security_report.html">http://httpd.apache.org/security_report.html</a><br>
<a
href="http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html">http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html</a><br>
<br>
Summary of what I think we need:<br>
<br>
1. Any issues tagged with Security in Issue Tracker should be hidden to
non-commiters (if possible)<br>
2. A certificate available for download to allow researchers to encrypt
vulnerability details that they e-mail to us<br>
3. A notification list for security-alerts<br>
4. Define an expected response time to resolve vulnerabilities<br>
5. Do we go with CVE labels for vulnerabilities or use our own labeling system<br>
<br>
I think that these 5 things should probably be owasp wide, and projects should
be required to have a link on their *main pages* pointing people to the OWASP
Policy for reporting Security Vulnerabilities.<br>
<br>
The policy itself should be pretty standard, <br>
<br>
1. Send as much info as possible, including PoC code if available. <br>
2. Ask nicely to not disclose publicly until we have had a chance to respond
and/or resolve<br>
3, Encouraged use of OWASP cert to encrypt details of vuln in e-mail<br>
<br>
We should have a central e-mail distribution that goes to project leads for all
owasp projects (something along the lines of <a
href="mailto:vulnerable@owasp.org">vulnerable@owasp.org</a>) <br>
<br>
We should only encourage people to submit security vulnerabilities using Issue
Trackers if we have the ability to *hide* those issues from anonymous and/or
non project commiters.<br>
<br>
Thoughts?<o:p></o:p></p>

<div>

<p class=MsoNormal>On Mon, May 3, 2010 at 9:47 AM, Michael Coates &lt;<a
href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>&gt;
wrote:<o:p></o:p></p>

<p class=MsoNormal>This event raises a really important issue for consideration
- how will security issues in ESAPI be handled? &nbsp;Despite our best efforts
there will be security issues that pop up from time to time. One thing that may
hold organizations back from adopting ESAPI is a documented understanding of
how OWASP/ESAPI will handle security bugs in ESAPI. Mainly, we need to document
how security bugs should be reported to OWASP, how OWASP will traige the issue,
how the issue and risk will be communicated to the ESAPI user community, how
the issue will be fixed and whether post mortem details will be published.<br>
<br>
But to Jeff's point, there are always those who will publicly disclose an issue
before contacting the vendor/software owner. &nbsp;However, this isn't that
bad. The worst would be a private disclosure to an maliciously focused group.
&nbsp;(Granted private disclosure to the software owner before public
disclosure is the preferred approach).<br>
<span style='color:#888888'><br>
Michael Coates</span><o:p></o:p></p>

<div>

<div>

<p class=MsoNormal><br>
<br>
<br>
<br>
On 5/2/10 2:40 PM, Jim Manico wrote:<o:p></o:p></p>

<p class=MsoNormal>It's my opinion that OWASP needs an organization-wide
security<br>
notification email list but I was turned down. And thats ok. So for<br>
now we can email the esapi-dev and the esapi-users list with any<br>
notification.<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 2:15 PM, Chris Schmidt&lt;<a
href="mailto:chrisisbeef@gmail.com" target="_blank">chrisisbeef@gmail.com</a>&gt;
&nbsp;wrote:<br>
<br>
&nbsp; <o:p></o:p></p>

<p class=MsoNormal>I think this also may partially be a result of not having a
well<br>
defined and documented process for reportig vulnerabilities in the<br>
code. Did we ever get anywhere with setting up a mailing list or group<br>
for security notifications?<br>
<br>
Sent from my iPwn<br>
<br>
On May 2, 2010, at 2:55 PM, &quot;Jeff Williams&quot;&lt;<a
href="mailto:jeff.williams@owasp.org" target="_blank">jeff.williams@owasp.org</a>&gt;<br>
wrote:<br>
<br>
&nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>IMHO this is just one more sign of a healthy security
ecosystem.<br>
There will always be folks who think it's 37337 to release an<br>
unknown exploit regardless of the harm it causes. But complaining<br>
about it won't help. &nbsp;No matter what, we need to have a measured<br>
response capability ready. It's entirely possible that this is an<br>
esoteric risk that doesn't really expose any real applications,<br>
however it could also be critical. At this point we don't know. I'm<br>
looking forward to evaluating the alleged flaw, whatever it might be.<br>
<br>
--Jeff<br>
<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>
[mailto:<a href="mailto:owasp-leaders-" target="_blank">owasp-leaders-</a><br>
<a href="mailto:bounces@lists.owasp.org" target="_blank">bounces@lists.owasp.org</a>]
On Behalf Of Jim Manico<br>
Sent: Sunday, May 02, 2010 1:30 PM<br>
To: <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a>;
ESAPI-Developers; ESAPI-Users<br>
Subject: Re: [Owasp-leaders] Crypto attack and OWASP<br>
<br>
We deprecated 1.4 encryption and are seeking bids for professional<br>
cryptographic-centric review of ESAPI 2.0 rc6 before we promote ESAPI<br>
to GA (general availability). I have stated on several occasions that<br>
no one should be using ESAPI for cryptographic storage in production<br>
apps - yet.<br>
<br>
However, I do have issue with the irresponsible nature of this<br>
disclosure:<br>
<br>
&nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>We leave the finding of thes bugs as an exercise for readers<br>
&nbsp; &nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>And I know that members of OWASP would NEVER pull a stunt
like this<br>
to<br>
any vendor. Our ethics put community and open way above glory-<br>
seeking,<br>
correct?<br>
<br>
Jim Manico<br>
<br>
On May 2, 2010, at 1:50 AM, Christian Heinrich&lt;<a
href="mailto:christian.heinrich@owasp.org" target="_blank">christian.heinrich@owasp.org</a><br>
&nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>wrote:<br>
&nbsp; &nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>&nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>Nam,<br>
<br>
To quote <a
href="https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf"
target="_blank">https://media.blackhat.com/bh-eu-10/whitepapers/Duong_Rizzo/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf</a><br>
<br>
&quot;5.3.2 OWASP ESAPI<br>
<br>
OWASP ESAPI 20, which stands for OWASP Enterprise Security API<br>
Toolkits, is a project that claim to &#8220;help software developers gu<br>
ard<br>
against security-related design and implementation flaws.&#8221; Howe<br>
ver,<br>
we<br>
found that all OWASP ESAPI for Java up to version 2.0 RC2 are<br>
vulnerable to Padding Oracle attacks 21. There were some significant<br>
changes in ESAPI Encryption API since 2.0 RC3 22. Unfortunately,<br>
while<br>
these changes are heading towards the correct direction, i.e.<br>
signing<br>
the ciphertex or using an authenticated encryption mode, but at the<br>
time of this writing, there are still some bugs in the latest<br>
implementation 23 that make applications using ESAPI for Java still<br>
vulnerable to Padding Oracle attacks. .&quot;<br>
<br>
On Fri, Mar 5, 2010 at 12:15 PM, Nam Nguyen&lt;<a
href="mailto:namn@bluemoon.com.vn" target="_blank">namn@bluemoon.com.vn</a>&gt;<br>
wrote:<br>
&nbsp; &nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>Quote: We show that even OWASP folks can't get it right, how
can an<br>
average Joe survive this new class of vulnerabilities?<br>
<br>
<a href="http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong"
target="_blank">http://www.blackhat.com/html/bh-eu-10/bh-eu-10-briefings.html#Duong</a><br>
<br>
Anyone going to BH-EU?<br>
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>--<br>
Regards,<br>
Christian Heinrich - <a href="http://www.owasp.org/index.php/user:cmlh"
target="_blank">http://www.owasp.org/index.php/user:cmlh</a><br>
OWASP &quot;Google Hacking&quot; Project Lead - <a href="http://sn.im/"
target="_blank">http://sn.im/</a><br>
owasp_google_hacking<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&nbsp; &nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
_______________________________________________<br>
Esapi-dev mailing list<br>
<a href="mailto:Esapi-dev@lists.owasp.org" target="_blank">Esapi-dev@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
&nbsp; &nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
&nbsp; &nbsp; <o:p></o:p></p>

<p class=MsoNormal>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&nbsp; <o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p>

</div>

</div>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
<br clear=all>
<br>
-- <br>
Chris Schmidt<br>
<br>
OWASP ESAPI Developer<br>
<a href="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API"
target="_blank">http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API</a><br>
<br>
Check out OWASP ESAPI for Java<br>
<a href="http://code.google.com/p/owasp-esapi-java/" target="_blank">http://code.google.com/p/owasp-esapi-java/</a><br>
<br>
OWASP ESAPI for JavaScript<br>
<a href="http://code.google.com/p/owasp-esapi-js/" target="_blank">http://code.google.com/p/owasp-esapi-js/</a><br>
<br>
Yet Another Developers Blog<br>
<a href="http://yet-another-dev.blogspot.com" target="_blank">http://yet-another-dev.blogspot.com</a><br>
<br>
Bio and Resume<br>
<a href="http://www.digital-ritual.net/resume.html" target="_blank">http://www.digital-ritual.net/resume.html</a><o:p></o:p></p>

</div>

</body>

</html>