Kevin,<br><br>First at all, thank&#39;s for the answers to my questions.<br><br>1 - About Swingset: I had a brief look at swingset, but it didn&#39;t reached my needs. I observed that a lot of actions (secure/insecure) have no methods implementations because those implementations are on the jsp files that does the submit action to same page. So, using swingset is very hard to compare the difference just looking for the secure/insecure version of JSP.<br>



<br>I think that an funcional application (like a petstore, or any other) that we can see all differences in implementations will provide an after/before comparison specially when we submit both versions in a black box security scanner. This would be helpfull for teaching the potential of ESAPI  and show the advantages of using it, or to show an concept proof for a technical team.<br>



<br>Another thing that I observed is about filters. The swingset example doesn&#39;t use all potential of filters, even because it shows each vulnerability solving in JSP code, but in real applications I believe that we must solve, when possible, the vulnerabilities with filters.<br>



<br>So, who only use swingset to learn how to protect the application may not use all the potential of filters and rise the risk of don&#39;t follow the best way to protect the application. Specially about the use of WAF that do automatically a lot of things just by configuring the policy file. It will avoid the creation of unnecessary code in filters or in action classes by configuring the WAF policy file or by the creation of beanshell script linked in WAF policy file.<br>



<br>Obviously the Swingset was created for instruct about how to use ESAPI in a simpler manner, but the challenge now is find/develop an application that shows how to use ESAPI in a better way by activating filters and by creating your own filters for specially needs.<br>

<br>Does anyone share this opinion with me? It would be nice if the ESAPI experts could develop something like that.<br>

<br>2 - About the question about RequestRateThrottleFilter, the answer is No. To use this filter I believe that is simple (just enable filter configuring in the web.xml). I asked about RequestRateThrottleFilter because we want to use it in other non java systems, like ASP, PHP, etc.<br>



<br><br>Until now, thanks for the answers to my questions.<br><br><br>Regards,<br><br>Tarcizio<br><br><br><div class="gmail_quote">2010/5/26  <span dir="ltr">&lt;<a href="mailto:esapi-user-request@lists.owasp.org" target="_blank">esapi-user-request@lists.owasp.org</a>&gt;</span><br>



<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Send Esapi-user mailing list submissions to<br>
        <a href="mailto:esapi-user@lists.owasp.org" target="_blank">esapi-user@lists.owasp.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
or, via email, send a message with subject or body &#39;help&#39; to<br>
        <a href="mailto:esapi-user-request@lists.owasp.org" target="_blank">esapi-user-request@lists.owasp.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:esapi-user-owner@lists.owasp.org" target="_blank">esapi-user-owner@lists.owasp.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than &quot;Re: Contents of Esapi-user digest...&quot;<br>
<br>
<br>
Today&#39;s Topics:<br>
<br>
   1. Sample Java Web Application with ESAPI (Tarcizio Vieira Neto)<br>
   2. Re: Sample Java Web Application with ESAPI (Kevin W. Wall)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 25 May 2010 21:27:08 -0300<br>
From: Tarcizio Vieira Neto &lt;<a href="mailto:tarciziovn@gmail.com" target="_blank">tarciziovn@gmail.com</a>&gt;<br>
Subject: [Esapi-user] Sample Java Web Application with ESAPI<br>
To: <a href="mailto:esapi-user@lists.owasp.org" target="_blank">esapi-user@lists.owasp.org</a><br>
Message-ID:<br>
        &lt;<a href="mailto:AANLkTimikdkfFg-MZyHK19N70B69jCgQNGOtn3yrS9aw@mail.gmail.com" target="_blank">AANLkTimikdkfFg-MZyHK19N70B69jCgQNGOtn3yrS9aw@mail.gmail.com</a>&gt;<br>
Content-Type: text/plain; charset=&quot;iso-8859-1&quot;<br>
<br>
Is there any Java Web Application sample with insecure version and the new<br>
version with security improvements using ESAPI?<br>
<br>
I&#39;m asking this because I&#39;m learning about ESAPI and I&#39;m not feeling secure<br>
about the right way to use filters and ESAPI classes.<br>
<br>
If this application doesn&#39;t exists would be a good idea construct it to help<br>
the users how to implement security in their applications with ESAPI and the<br>
most important: how to do this in the best way.<br>
<br>
Regards,<br>
<br>
Tarcizio<br>
SERPRO - Federal Data Processing Service - Brazil<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <a href="https://lists.owasp.org/pipermail/esapi-user/attachments/20100525/7c10df91/attachment-0001.html" target="_blank">https://lists.owasp.org/pipermail/esapi-user/attachments/20100525/7c10df91/attachment-0001.html</a><br>






<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Wed, 26 May 2010 07:23:24 -0400<br>
From: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>&gt;<br>
Subject: Re: [Esapi-user] Sample Java Web Application with ESAPI<br>
To: Tarcizio Vieira Neto &lt;<a href="mailto:tarciziovn@gmail.com" target="_blank">tarciziovn@gmail.com</a>&gt;<br>
Cc: <a href="mailto:esapi-user@lists.owasp.org" target="_blank">esapi-user@lists.owasp.org</a><br>
Message-ID: &lt;<a href="mailto:4BFD04AC.7050002@gmail.com" target="_blank">4BFD04AC.7050002@gmail.com</a>&gt;<br>
Content-Type: text/plain; charset=ISO-8859-1<br>
<br>
Tarcizio Vieira Neto wrote:<br>
&gt; Is there any Java Web Application sample with insecure version and the new<br>
&gt; version with security improvements using ESAPI?<br>
&gt;<br>
&gt; I&#39;m asking this because I&#39;m learning about ESAPI and I&#39;m not feeling secure<br>
&gt; about the right way to use filters and ESAPI classes.<br>
&gt;<br>
&gt; If this application doesn&#39;t exists would be a good idea construct it to help<br>
&gt; the users how to implement security in their applications with ESAPI and the<br>
&gt; most important: how to do this in the best way.<br>
<br>
Have you taken a look at Swingset?<br>
   <a href="http://www.owasp.org/index.php/ESAPI_Swingset" target="_blank">http://www.owasp.org/index.php/ESAPI_Swingset</a><br>
<br>
Or where you looking for something specific, such as how to<br>
configure the RequestRateThrottleFilter that you mentioned<br>
yesterday?<br>
<br>
-kevin<br>
--<br>
Kevin W. Wall<br>
&quot;The most likely way for the world to be destroyed, most experts agree,<br>
is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>
We cause accidents.&quot;        -- Nathaniel Borenstein, co-creator of MIME<br>
<br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br>
<br>
End of Esapi-user Digest, Vol 6, Issue 19<br>
*****************************************<br>
</blockquote></div><br>