Sorry - meant to include the link to those presentations - they can be found at <a href="https://www.owasp.org/index.php/OWASP_AppSensor_Project">https://www.owasp.org/index.php/OWASP_AppSensor_Project</a><br><br><div class="gmail_quote">

On Thu, Jun 23, 2011 at 11:00 AM, John Melton <span dir="ltr">&lt;<a href="mailto:jtmelton@gmail.com">jtmelton@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Just a quick (hopefully helpful) additional note. When the intrusion detector decides that you have an actual &quot;intrusion&quot;, then it can respond in various ways. I think the base intrusion detector can log additional info, and logout or disable a user.  The appsensor project has a couple more options, but it does seem to be quite a powerful concept.  The appsensor project main page has some helpful presentation decks that explain the application intrusion detection concept well.<br>


Thanks,<br>John<br><br><div class="gmail_quote"><div><div></div><div class="h5">On Thu, Jun 23, 2011 at 10:52 AM, Jeff Williams <span dir="ltr">&lt;<a href="mailto:jeff.williams@aspectsecurity.com" target="_blank">jeff.williams@aspectsecurity.com</a>&gt;</span> wrote:<br>


</div></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div><div></div><div class="h5"><div link="blue" vlink="purple" lang="EN-US"><div>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">The IntrusionDetector actually watches all SecurityExceptions (AuthenticationException, ValidationException, EncryptionException, etc…) and looks for patterns.  Currently the implementation is pretty simple.  You can configure a threshold into SecurityConfiguration for different types of exceptions.  For example, if you exceed 5 ValidationExceptions in a 10 second window, it identifies this as an attack and throws an Intrusion Exception.<u></u><u></u></span></p>


<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Michael Coates has done a lot of work building on this basic idea in the OWASP AppSensor project.<u></u><u></u></span></p>


<div><p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">--Jeff<u></u><u></u></span></p></div>


<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"><u></u> <u></u></span></p><div><div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; padding: 3pt 0in 0in;">


<p class="MsoNormal"><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;"> <a href="mailto:esapi-user-bounces@lists.owasp.org" target="_blank">esapi-user-bounces@lists.owasp.org</a> [mailto:<a href="mailto:esapi-user-bounces@lists.owasp.org" target="_blank">esapi-user-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>weiping guo<br>


<b>Sent:</b> Thursday, June 23, 2011 10:35 AM<br><b>To:</b> <a href="mailto:esapi-user@lists.owasp.org" target="_blank">esapi-user@lists.owasp.org</a><br><b>Subject:</b> [Esapi-user] IntrusionException and IntrusionDetector<u></u><u></u></span></p>


</div></div><div><div></div><div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;">Hi,<u></u><u></u></span></p>


</div><div><div><div><div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;"> <u></u><u></u></span></p></div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;">


<span style="font-size: 10pt; color: black;">I need some help on understanding Intrusion detection. The Validator interface throws IntrusionException. The JavaDoc says &quot;input that is clearly an attack will generate a descriptive IntrusionException.&quot; My question is how the intrusion is detected? what &#39;clearly&#39; means in here? Any sceneraio is appreciated.</span><span style="font-size: 10pt; color: black;"><u></u><u></u></span></p>


</div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;"> <u></u><u></u></span></p></div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;">


<span style="font-size: 10pt; color: black;">Suppose, an intrusion is detected. I assume the ESAPI.IntrusionDetector (org.owasp.esapi.reference.DefaultIntrusionDetector, for example)defined in the config file will be notified. Can I assume the IntrusionDetector will be invoked automatically whenever IntrusionException is thrown? How it works?</span><span style="font-size: 10pt; color: black;"><u></u><u></u></span></p>


</div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;"> <u></u><u></u></span></p></div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;">


<span style="font-size: 10pt; color: black;">Thank you.</span><span style="font-size: 10pt; color: black;"><u></u><u></u></span></p></div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;"> <u></u><u></u></span></p>


</div><div><p class="MsoNormal" style="background: none repeat scroll 0% 0% white;"><span style="font-size: 10pt; color: black;">Jim</span><span style="font-size: 10pt; color: black;"> <u></u><u></u></span></p></div></div>


</div><p class="MsoNormal" style="margin-bottom: 12pt; background: none repeat scroll 0% 0% white;"><span style="color: black;"><u></u> <u></u></span></p></div></div></div></div></div></div></div><br></div></div>_______________________________________________<br>



Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br>
</blockquote></div><br>