<html><body><div style="color:#000; background-color:#fff; font-family:arial, helvetica, sans-serif;font-size:10pt"><div><span><font size="3" face="Times New Roman">

</font><span style='color: rgb(31, 73, 125); font-family: "Calibri","sans-serif"; font-size: 11pt; mso-ascii-theme-font: minor-latin; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi; mso-themecolor: dark2;'>John, Jeff,</span></div><div style="margin: 0in 0in 0pt;" class="MsoNormal"><span style='color: rgb(31, 73, 125); font-family: "Calibri","sans-serif"; font-size: 11pt; mso-ascii-theme-font: minor-latin; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi; mso-themecolor: dark2;'><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p>&nbsp;</o:p></span></div><div style="margin: 0in 0in 0pt;" class="MsoNormal"><span style='color: rgb(31, 73, 125); font-family: "Calibri","sans-serif"; font-size: 11pt; mso-ascii-theme-font: minor-latin; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman";
 mso-bidi-theme-font: minor-bidi; mso-themecolor: dark2;'>Thanks a lot for your explanation. I will look at the AppSensor project.<o:p></o:p></span></div><div><font size="3" face="Times New Roman">

</font></div><div style="margin: 0in 0in 0pt;" class="MsoNormal"><span style='color: rgb(31, 73, 125); font-family: "Calibri","sans-serif"; font-size: 11pt; mso-ascii-theme-font: minor-latin; mso-hansi-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-bidi-theme-font: minor-bidi; mso-themecolor: dark2;'>Jim <o:p></o:p></span></div><div><font size="3" face="Times New Roman">

</font></span><font size="2" face="Arial"></div><div style="font-family: arial, helvetica, sans-serif; font-size: 10pt;"><div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"><div style="margin: 5px 0px; padding: 0px; border: 1px solid rgb(204, 204, 204); line-height: 0; font-size: 0px;" class="hr" contentEditable="false" readonly="true">&nbsp;</div><b><span style="font-weight: bold;">From:</span></b> John Melton &lt;jtmelton@gmail.com&gt;<br><b><span style="font-weight: bold;">To:</span></b> weiping guo &lt;weiping_guo@yahoo.com&gt;<br><b><span style="font-weight: bold;">Cc:</span></b> esapi-user@lists.owasp.org<br><b><span style="font-weight: bold;">Sent:</span></b> Thursday, June 23, 2011 11:18 AM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: [Esapi-user] IntrusionException and IntrusionDetector<br></font><br>
<div id="yiv640297293">Sorry - meant to include the link to those presentations - they can be found at <a href="https://www.owasp.org/index.php/OWASP_AppSensor_Project" rel="nofollow" target="_blank">https://www.owasp.org/index.php/OWASP_AppSensor_Project</a><br><br><div class="yiv640297293gmail_quote">

On Thu, Jun 23, 2011 at 11:00 AM, John Melton <span dir="ltr">&lt;<a href="mailto:jtmelton@gmail.com" rel="nofollow" target="_blank" ymailto="mailto:jtmelton@gmail.com">jtmelton@gmail.com</a>&gt;</span> wrote:<br><blockquote style="margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;" class="yiv640297293gmail_quote">

Just a quick (hopefully helpful) additional note. When the intrusion detector decides that you have an actual "intrusion", then it can respond in various ways. I think the base intrusion detector can log additional info, and logout or disable a user.&nbsp; The appsensor project has a couple more options, but it does seem to be quite a powerful concept.&nbsp; The appsensor project main page has some helpful presentation decks that explain the application intrusion detection concept well.<br>


Thanks,<br>John<br><br><div class="yiv640297293gmail_quote"><div><div></div><div class="yiv640297293h5">On Thu, Jun 23, 2011 at 10:52 AM, Jeff Williams <span dir="ltr">&lt;<a href="mailto:jeff.williams@aspectsecurity.com" rel="nofollow" target="_blank" ymailto="mailto:jeff.williams@aspectsecurity.com">jeff.williams@aspectsecurity.com</a>&gt;</span> wrote:<br>


</div></div><blockquote style="margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;" class="yiv640297293gmail_quote"><div><div></div><div class="yiv640297293h5"><div lang="EN-US"><div>

<div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;">The IntrusionDetector actually watches all SecurityExceptions (AuthenticationException, ValidationException, EncryptionException, etc…) and looks for patterns.&nbsp; Currently the implementation is pretty simple.&nbsp; You can configure a threshold into SecurityConfiguration for different types of exceptions.&nbsp; For example, if you exceed 5 ValidationExceptions in a 10 second window, it identifies this as an attack and throws an Intrusion Exception.<u></u><u></u></span></div>


<div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;"><u></u>&nbsp;<u></u></span></div><div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;">Michael Coates has done a lot of work building on this basic idea in the OWASP AppSensor project.<u></u><u></u></span></div>


<div><div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;"><u></u>&nbsp;<u></u></span></div><div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;">--Jeff<u></u><u></u></span></div></div>


<div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;"><u></u>&nbsp;<u></u></span></div><div class="yiv640297293MsoNormal"><span style="color: rgb(31, 73, 125); font-size: 11pt;"><u></u>&nbsp;<u></u></span></div><div><div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(181, 196, 223); padding: 3pt 0in 0in;">


<div class="yiv640297293MsoNormal"><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;"> <a href="mailto:esapi-user-bounces@lists.owasp.org" rel="nofollow" target="_blank" ymailto="mailto:esapi-user-bounces@lists.owasp.org">esapi-user-bounces@lists.owasp.org</a> [mailto:<a href="mailto:esapi-user-bounces@lists.owasp.org" rel="nofollow" target="_blank" ymailto="mailto:esapi-user-bounces@lists.owasp.org">esapi-user-bounces@lists.owasp.org</a>] <b>On Behalf Of </b>weiping guo<br>


<b>Sent:</b> Thursday, June 23, 2011 10:35 AM<br><b>To:</b> <a href="mailto:esapi-user@lists.owasp.org" rel="nofollow" target="_blank" ymailto="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a><br><b>Subject:</b> [Esapi-user] IntrusionException and IntrusionDetector<u></u><u></u></span></div>


</div></div><div><div></div><div><div class="yiv640297293MsoNormal"><u></u>&nbsp;<u></u></div><div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">Hi,<u></u><u></u></span></div>


</div><div><div><div><div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">&nbsp;<u></u><u></u></span></div></div><div><div style="background: white;" class="yiv640297293MsoNormal">


<span style="color: black; font-size: 10pt;">I need some help on understanding Intrusion detection. The&nbsp;Validator interface throws IntrusionException. The JavaDoc says "input that is clearly an attack will generate a descriptive IntrusionException." My question is how the intrusion is detected? what 'clearly' means in here? Any sceneraio is appreciated.</span><span style="color: black; font-size: 10pt;"><u></u><u></u></span></div>


</div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">&nbsp;<u></u><u></u></span></div></div><div><div style="background: white;" class="yiv640297293MsoNormal">


<span style="color: black; font-size: 10pt;">Suppose, an intrusion is detected. I assume the ESAPI.IntrusionDetector (org.owasp.esapi.reference.DefaultIntrusionDetector, for example)defined in the config file will be notified. Can I assume the IntrusionDetector will be invoked automatically whenever IntrusionException is thrown? How it works?</span><span style="color: black; font-size: 10pt;"><u></u><u></u></span></div>


</div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">&nbsp;<u></u><u></u></span></div></div><div><div style="background: white;" class="yiv640297293MsoNormal">


<span style="color: black; font-size: 10pt;">Thank you.</span><span style="color: black; font-size: 10pt;"><u></u><u></u></span></div></div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">&nbsp;<u></u><u></u></span></div>


</div><div><div style="background: white;" class="yiv640297293MsoNormal"><span style="color: black; font-size: 10pt;">Jim</span><span style="color: black; font-size: 10pt;"> <u></u><u></u></span></div></div></div>


</div><div style="background: white; margin-bottom: 12pt;" class="yiv640297293MsoNormal"><span style="color: black;"><u></u>&nbsp;<u></u></span></div></div></div></div></div></div></div></div><br></div></div>_______________________________________________<br>



Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" rel="nofollow" target="_blank" ymailto="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" rel="nofollow" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br>
</blockquote></div><br>
</div><br><br></div></div></div></body></html>