<html><body bgcolor="#FFFFFF"><div>Perhaps he is interested in canonicalization? &nbsp;There are plenty of good reasons to have a SQLServer codec in ESAPI.</div><div><br></div><div>There were some discussions around this a while back, and maybe even an implementation. &nbsp;Would you be interested in helping put this together?&nbsp;<br><br>--Jeff<div><br></div><div><br></div></div><div><br>On Jul 27, 2011, at 5:22 PM, "Jim Manico" &lt;<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div><div>Rama,</div><div><br></div><div>This is a deeply fragile way to stop XSS. Can you just use parameterized queries with data binding? We heavily recommend this as the best way to stop SQL injection.<br>
<br>- Jim Manico</div><div><br>On Jul 27, 2011, at 12:48 PM, Rama Krishna Pathangi &lt;<a href="mailto:rpathangi@hotmail.com"><a href="mailto:rpathangi@hotmail.com">rpathangi@hotmail.com</a></a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div><div dir="ltr">

Hello,<br>&nbsp;<br>We are currently using ESAPI 2.0 GA.<br>In line with the following, I was wondering if we can have a codec for SQLServer in your future release.<br>SAPI.encoder().encodeForSQL( new OracleCodec(), dirtyString );<br>
SAPI.encoder().encodeForSQL( new DB2Codec(), dirtyString );<br><br><font face="Tahoma">--</font><br>
<font face="Tahoma">Rama Krishna Rao Pathangi</font><br>
<font face="Tahoma">[c]&nbsp;1 503 962 9480</font><br>
<font face="Tahoma">[f]&nbsp; 1 801 409 7951</font><br><br>&nbsp;<br><div>&gt; From: <a href="mailto:esapi-user-request@lists.owasp.org"></a><a href="mailto:esapi-user-request@lists.owasp.org"><a href="mailto:esapi-user-request@lists.owasp.org">esapi-user-request@lists.owasp.org</a></a><br>
&gt; Subject: Esapi-user Digest, Vol 20, Issue 12<br>&gt; To: <a href="mailto:esapi-user@lists.owasp.org"></a><a href="mailto:esapi-user@lists.owasp.org"><a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a></a><br>&gt; Date: Wed, 27 Jul 2011 12:00:05 -0400<br>
&gt; <br>&gt; Send Esapi-user mailing list submissions to<br>&gt;         <a href="mailto:esapi-user@lists.owasp.org"></a><a href="mailto:esapi-user@lists.owasp.org"><a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a></a><br>&gt; <br>&gt; To subscribe or unsubscribe via the World Wide Web, visit<br>
&gt;         <a href="https://lists.owasp.org/mailman/listinfo/esapi-user"></a><a href="https://lists.owasp.org/mailman/listinfo/esapi-user"><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a></a><br>&gt; or, via email, send a message with subject or body 'help' to<br>
&gt;         <a href="mailto:esapi-user-request@lists.owasp.org"></a><a href="mailto:esapi-user-request@lists.owasp.org"><a href="mailto:esapi-user-request@lists.owasp.org">esapi-user-request@lists.owasp.org</a></a><br>&gt; <br>&gt; You can reach the person managing the list at<br>&gt;         <a href="mailto:esapi-user-owner@lists.owasp.org"></a><a href="mailto:esapi-user-owner@lists.owasp.org"><a href="mailto:esapi-user-owner@lists.owasp.org">esapi-user-owner@lists.owasp.org</a></a><br>
&gt; <br>&gt; When replying, please edit your Subject line so it is more specific<br>&gt; than "Re: Contents of Esapi-user digest..."<br>&gt; <br>&gt; <br>&gt; Today's Topics:<br>&gt; <br>&gt;    1. Re: [Esapi-dev] ESAPI 2.0.1 Released (Dave Wolf)<br>
&gt;    2. Fwd: .NET and Java WAF (Christian Heinrich)<br>&gt;    3. Re: .NET and Java WAF (Jim Manico)<br>&gt;    4. Re: [Esapi-dev] .NET and Java WAF (Kevin W. Wall)<br>&gt;    5. Re: [GPC] Fwd: .NET and Java WAF (Jason Li)<br>
&gt;    6. using SafeRequest (Normando Macaraeg)<br>&gt;    7. Re: using SafeRequest (Kevin W. Wall)<br>&gt;    8. Re: [Esapi-dev] .NET and Java WAF (Christian Heinrich)<br>&gt; <br>&gt; <br>&gt; ----------------------------------------------------------------------<br>
&gt; <br>&gt; Message: 1<br>&gt; Date: Tue, 26 Jul 2011 17:14:12 +0000<br>&gt; From: Dave Wolf &lt;<a href="mailto:dave.wolf@gmail.com"><a href="mailto:dave.wolf@gmail.com">dave.wolf@gmail.com</a></a>&gt;<br>&gt; Subject: Re: [Esapi-user] [Esapi-dev] ESAPI 2.0.1 Released<br>
&gt; To: ESAPI Dev List &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,<br>&gt;         "<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>" &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;<br>
&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAF1Q6Q3EHDgAwCheTt6e9E3HmZd+smu3eVSkEj8dqpHV1nRpyA@mail.gmail.com"><a href="mailto:CAF1Q6Q3EHDgAwCheTt6e9E3HmZd+smu3eVSkEj8dqpHV1nRpyA@mail.gmail.com">CAF1Q6Q3EHDgAwCheTt6e9E3HmZd+smu3eVSkEj8dqpHV1nRpyA@mail.gmail.com</a></a>&gt;<br>&gt; Content-Type: text/plain; charset="utf-8"<br>
&gt; <br>&gt; Hi,<br>&gt; <br>&gt; FYI, I'm not finding 2.0.1 on Maven Central. The most current release that<br>&gt; shows up is 2.0GA. I'm searching using:<br>&gt; g:"org.owasp.esapi" AND a:"esapi" AND v:"2.0.1"<br>
&gt; <br>&gt; Any ideas what is going on?<br>&gt; <br>&gt; Thanks,<br>&gt; <br>&gt; Dave Wolf<br>&gt; <br>&gt; Date: Mon, 25 Jul 2011 08:01:35 -0400<br>&gt; From: "Kevin W. Wall" &lt;<a href="mailto:kevin.w.wall@gmail.com"><a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-dev] ESAPI 2.0.1 Released<br>&gt; To: Chris Schmidt &lt;<a href="mailto:chris.schmidt@owasp.org"><a href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a></a>&gt;<br>&gt; Cc: ESAPI Devs &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,<br>
&gt;        "<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>" &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;<br>&gt; Message-ID:<br>&gt;        &lt;<a href="mailto:CAOPE6PhgP5NnFLxA2nBKKCG5P39N4vuTU0+U1U3SmbcC_eY2kA@mail.gmail.com"><a href="mailto:CAOPE6PhgP5NnFLxA2nBKKCG5P39N4vuTU0+U1U3SmbcC_eY2kA@mail.gmail.com">CAOPE6PhgP5NnFLxA2nBKKCG5P39N4vuTU0+U1U3SmbcC_eY2kA@mail.gmail.com</a></a>&gt;<br>
&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; On Mon, Jul 25, 2011 at 4:44 AM, Chris Schmidt &lt;<a href="mailto:chris.schmidt@owasp.org"><a href="mailto:chris.schmidt@owasp.org">chris.schmidt@owasp.org</a></a>&gt;<br>&gt; wrote:<br>&gt; &gt; Due to popular demand ESAPI 2.0.1 has been released with some minor (but<br>
&gt; &gt; important) bug fixes. The changelist is below.<br>&gt; &gt; [snip]<br>&gt; &gt; Change log from <a href="http://2.0.GA">2.0.GA</a> &lt;<a href="http://2.0.ga/"><a href="http://2.0.ga/">http://2.0.ga/</a></a>&gt; to 2.0.1<br>&gt; &gt;<br>&gt; &gt; 2011-07-25 00:01:38     chrisisbeef     /trunk/pom.xml v 1858<br>
&gt; &gt;<br>&gt; &gt; Removed version from project name... Fixes Issue #235<br>&gt; &gt; 2011-07-24 23:56:06     chrisisbeef<br>&gt; &gt; /trunk/configuration/esapi/<br>&gt; ESAPI.properties v 1857<br>&gt; &gt; /trunk/src/test/java/org/owasp/esapi/reference/ValidatorTest.java v 1857<br>
&gt; &gt;<br>&gt; &gt; Resolves issue #46 - allow context path to have leading slash or be empty<br>&gt; &gt; 2011-07-23 14:36:17     chrisisbeef<br>&gt; &gt;<br>&gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultSecurityConfiguration.java<br>
&gt; &gt; v 1856<br>&gt; &gt;<br>&gt; &gt; Get rid of really irritating stacktrace everytime esapi loads.<br>&gt; &gt;<br>&gt; &gt; fixes issue #220<br>&gt; &gt; 2011-07-23 14:25:45     chrisisbeef<br>&gt; &gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultValidator.java v<br>
&gt; 1855<br>&gt; &gt;<br>&gt; &gt; Resolve issue 232 Validation Type Error<br>&gt; &gt; 2011-07-23 14:17:34     chrisisbeef<br>&gt; &gt; /trunk/src/main/java/org/owasp/esapi/reference/DefaultEncoder.java v 1854<br>&gt; &gt;<br>
&gt; &gt; Fix issue 231 inverted logic error with canonicalization.<br>&gt; <br>&gt; Chris,<br>&gt; <br>&gt; Well, let me be amongst the first to publically congratulate you for pushing<br>&gt; out these fixes, and especially issue #46, which I pretty much dropped the<br>
&gt; ball on.<br>&gt; <br>&gt; Thanks for your hard work. The whole ESAPI community owes you a beer!<br>&gt; Great job.<br>&gt; <br>&gt; -kevin<br>&gt; --<br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/"></a><a href="http://off-the-wall-security.blogspot.com/"><a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a></a><br>
&gt; "The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents."        -- Nathaniel Borenstein<br>
&gt; <br>&gt; Dave Wolf<br>&gt; <br>&gt; "There is no passion to be found playing small - in settling for a life that<br>&gt; is less than the one you are capable of living." --Nelson Mandela<br>&gt; -------------- next part --------------<br>
&gt; An HTML attachment was scrubbed...<br>&gt; URL: <a href="https://lists.owasp.org/pipermail/esapi-user/attachments/20110726/f6fa9b61/attachment-0001.html"><a href="https://lists.owasp.org/pipermail/esapi-user/attachments/20110726/f6fa9b61/attachment-0001.html">https://lists.owasp.org/pipermail/esapi-user/attachments/20110726/f6fa9b61/attachment-0001.html</a></a> <br>
&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 2<br>&gt; Date: Wed, 27 Jul 2011 10:23:39 +1000<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>
&gt; Subject: [Esapi-user] Fwd: .NET and Java WAF<br>&gt; To: Global Projects Committee<br>&gt;         &lt;<a href="mailto:global-projects-committee@lists.owasp.org"><a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a></a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,        ESAPI-Users<br>
&gt;         &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;<br>&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAFCvB5JThsd3g2AKP9kthkHKcywgj7dbK4r9JaMtqtVd3WEmZA@mail.gmail.com"><a href="mailto:CAFCvB5JThsd3g2AKP9kthkHKcywgj7dbK4r9JaMtqtVd3WEmZA@mail.gmail.com">CAFCvB5JThsd3g2AKP9kthkHKcywgj7dbK4r9JaMtqtVd3WEmZA@mail.gmail.com</a></a>&gt;<br>
&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; GPC,<br>&gt; <br>&gt; Please consider this notice that "we" intend to escalate for<br>&gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>
&gt; DefCon.<br>&gt; <br>&gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>&gt; the @<a href="http://owasp.org"><a href="http://owasp.org">owasp.org</a></a> Mailing Lists are created.<br>&gt; <br>&gt; Juan, Ryan, Jason and Jason have been BCC.<br>
&gt; <br>&gt; ---------- Forwarded message ----------<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>&gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>&gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>
&gt; To: "Calderon, Juan Carlos (GE, Corporate, consultant)" &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt;<br>&gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org"><a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a></a>&gt;<br>
&gt; <br>&gt; <br>&gt; Juan,<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>&gt; &gt; What do you mean closing this off? Having it ready or defining is an<br>
&gt; &gt; OWASP project?<br>&gt; <br>&gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; associated mailing list, etc.<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>
&gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>&gt; &gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>&gt; &gt; me out to finish this project, we have a progress meeting this Thursday,<br>
&gt; &gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt; Mod_security for Java this October (that is it should be well tested and<br>&gt; &gt; finished by then) :)<br>&gt; <br>&gt; I can note this milestone in the Project Plan - I will list it for<br>
&gt; November to account for the unlikely event that the deadline slips or<br>&gt; to demonstrate that we ship it earlier then expected :)<br>&gt; <br>&gt; <br>&gt; -- <br>&gt; Regards,<br>&gt; Christian Heinrich<br>&gt; <a href="http://www.owasp.org/index.php/user:cmlh"></a><a href="http://www.owasp.org/index.php/user:cmlh"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>
&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 3<br>&gt; Date: Tue, 26 Jul 2011 19:25:14 -0500<br>&gt; From: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-user] .NET and Java WAF<br>&gt; To: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,        ESAPI-Users<br>
&gt;         &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;,        Global Projects Committee<br>&gt;         &lt;<a href="mailto:global-projects-committee@lists.owasp.org"><a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a></a>&gt;<br>
&gt; Message-ID: &lt;-2981349937657456396@unknownmsgid&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; I totally support splitting the ESAPI WAF into a brand new project. Go<br>&gt; for it - and great work!<br>
&gt; <br>&gt; - Jim Manico<br>&gt; <br>&gt; On Jul 26, 2011, at 7:23 PM, Christian Heinrich<br>&gt; &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt; wrote:<br>&gt; <br>&gt; &gt; GPC,<br>
&gt; &gt;<br>&gt; &gt; Please consider this notice that "we" intend to escalate for<br>&gt; &gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>&gt; &gt; DefCon.<br>&gt; &gt;<br>&gt; &gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>
&gt; &gt; the @<a href="http://owasp.org"><a href="http://owasp.org">owasp.org</a></a> Mailing Lists are created.<br>&gt; &gt;<br>&gt; &gt; Juan, Ryan, Jason and Jason have been BCC.<br>&gt; &gt;<br>&gt; &gt; ---------- Forwarded message ----------<br>
&gt; &gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>&gt; &gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>&gt; &gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>
&gt; &gt; To: "Calderon, Juan Carlos (GE, Corporate, consultant)" &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt;<br>&gt; &gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org"><a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a></a>&gt;<br>
&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Juan,<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>
&gt; &gt;&gt; What do you mean closing this off? Having it ready or defining is an<br>&gt; &gt;&gt; OWASP project?<br>&gt; &gt;<br>&gt; &gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; &gt; associated mailing list, etc.<br>
&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>&gt; &gt;&gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>
&gt; &gt;&gt; me out to finish this project, we have a progress meeting this Thursday,<br>&gt; &gt;&gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt;&gt; Mod_security for Java this October (that is it should be well tested and<br>
&gt; &gt;&gt; finished by then) :)<br>&gt; &gt;<br>&gt; &gt; I can note this milestone in the Project Plan - I will list it for<br>&gt; &gt; November to account for the unlikely event that the deadline slips or<br>&gt; &gt; to demonstrate that we ship it earlier then expected :)<br>
&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Regards,<br>&gt; &gt; Christian Heinrich<br>&gt; &gt; <a href="http://www.owasp.org/index.php/user:cmlh"></a><a href="http://www.owasp.org/index.php/user:cmlh"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>
&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 4<br>&gt; Date: Tue, 26 Jul 2011 21:39:10 -0400<br>&gt; From: "Kevin W. Wall" &lt;<a href="mailto:kevin.w.wall@gmail.com"><a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-user] [Esapi-dev] .NET and Java WAF<br>&gt; To: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,        ESAPI-Users<br>
&gt;         &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;,        Global Projects Committee<br>&gt;         &lt;<a href="mailto:global-projects-committee@lists.owasp.org"><a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a></a>&gt;<br>
&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAOPE6Ph85Po+9Qs6d96GzYg4=5j5sYXQOU7JFEpJgF+o8iX_dg@mail.gmail.com"><a href="mailto:CAOPE6Ph85Po+9Qs6d96GzYg4=5j5sYXQOU7JFEpJgF+o8iX_dg@mail.gmail.com">CAOPE6Ph85Po+9Qs6d96GzYg4=5j5sYXQOU7JFEpJgF+o8iX_dg@mail.gmail.com</a></a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>
&gt; <br>&gt; On Tue, Jul 26, 2011 at 8:25 PM, Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt; wrote:<br>&gt; &gt; I totally support splitting the ESAPI WAF into a brand new project. Go<br>
&gt; &gt; for it - and great work!<br>&gt; <br>&gt; Christian,<br>&gt; <br>&gt; I concur. However, please do keep us in the loop, especially if you make<br>&gt; any changes that would affect out it is used in ESAPI. I think that we would<br>
&gt; like to keep it as an option there and also be able to drop in your latest<br>&gt; version.<br>&gt; <br>&gt; Thanks,<br>&gt; -kevin<br>&gt; -- <br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/"></a><a href="http://off-the-wall-security.blogspot.com/"><a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a></a><br>
&gt; "The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents." ? ? ? ?-- Nathaniel Borenstein<br>
&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 5<br>&gt; Date: Tue, 26 Jul 2011 21:51:42 -0400<br>&gt; From: Jason Li &lt;<a href="mailto:jason.li@owasp.org"><a href="mailto:jason.li@owasp.org">jason.li@owasp.org</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-user] [GPC] Fwd: .NET and Java WAF<br>&gt; To: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,        ESAPI-Users<br>
&gt;         &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;,        Global Projects Committee<br>&gt;         &lt;<a href="mailto:global-projects-committee@lists.owasp.org"><a href="mailto:global-projects-committee@lists.owasp.org">global-projects-committee@lists.owasp.org</a></a>&gt;<br>
&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAPfGuxawWMudERxnbN+-LfKZQ1tMfhUVs69fs9ntWkjHOiNPjg@mail.gmail.com"><a href="mailto:CAPfGuxawWMudERxnbN+-LfKZQ1tMfhUVs69fs9ntWkjHOiNPjg@mail.gmail.com">CAPfGuxawWMudERxnbN+-LfKZQ1tMfhUVs69fs9ntWkjHOiNPjg@mail.gmail.com</a></a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>
&gt; <br>&gt; Christian,<br>&gt; <br>&gt; There's no need to "escalate" for recognition.<br>&gt; <br>&gt; Any idea can always be submitted to the GPC and they will be processed<br>&gt; by Paulo Coimbra like all other requests.<br>
&gt; <br>&gt; I would encourage the group to read the wiki article on starting an<br>&gt; OWASP project (<a href="https://www.owasp.org/index.php/How_to_Start_an_OWASP_Project"><a href="https://www.owasp.org/index.php/How_to_Start_an_OWASP_Project">https://www.owasp.org/index.php/How_to_Start_an_OWASP_Project</a></a>)<br>
&gt; and ensure that the group submits the necessary information.<br>&gt; <br>&gt; -Jason<br>&gt; <br>&gt; On Tue, Jul 26, 2011 at 8:23 PM, Christian Heinrich<br>&gt; &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt; wrote:<br>
&gt; &gt; GPC,<br>&gt; &gt;<br>&gt; &gt; Please consider this notice that "we" intend to escalate for<br>&gt; &gt; recognition as an OWASP Project by the GPC shortly after BlackHat and<br>&gt; &gt; DefCon.<br>&gt; &gt;<br>
&gt; &gt; Hence I have CC ESAPI Mailing List for discussion in the interim until<br>&gt; &gt; the @<a href="http://owasp.org"><a href="http://owasp.org">owasp.org</a></a> Mailing Lists are created.<br>&gt; &gt;<br>&gt; &gt; Juan, Ryan, Jason and Jason have been BCC.<br>
&gt; &gt;<br>&gt; &gt; ---------- Forwarded message ----------<br>&gt; &gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>&gt; &gt; Date: Tue, Jul 26, 2011 at 8:33 AM<br>
&gt; &gt; Subject: Re: [Esapi-user] WAF 2.0? alpha on repository<br>&gt; &gt; To: "Calderon, Juan Carlos (GE, Corporate, consultant)" &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt;<br>&gt; &gt; Cc: Jim Manico &lt;<a href="mailto:jim.manico@owasp.org"><a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a></a>&gt;, Ryan Barnett &lt;<a href="mailto:ryan.barnett@owasp.org"><a href="mailto:ryan.barnett@owasp.org">ryan.barnett@owasp.org</a></a>&gt;<br>
&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Juan,<br>&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>
&gt; &gt;&gt; What do you mean closing this off? Having it ready or defining is an<br>&gt; &gt;&gt; OWASP project?<br>&gt; &gt;<br>&gt; &gt; I was referring too having it listed as an OWASP Project, such as an<br>&gt; &gt; associated mailing list, etc.<br>
&gt; &gt;<br>&gt; &gt; On Tue, Jul 26, 2011 at 6:02 AM, Calderon, Juan Carlos (GE, Corporate,<br>&gt; &gt; consultant) &lt;<a href="mailto:juan.calderon@ge.com"><a href="mailto:juan.calderon@ge.com">juan.calderon@ge.com</a></a>&gt; wrote:<br>&gt; &gt;&gt; Just as a small update, Aldo Salas a certified Java developer is helping<br>
&gt; &gt;&gt; me out to finish this project, we have a progress meeting this Thursday,<br>&gt; &gt;&gt; also I sent a paper proposal to OWASP LATAM to present a course on<br>&gt; &gt;&gt; Mod_security for Java this October (that is it should be well tested and<br>
&gt; &gt;&gt; finished by then) :)<br>&gt; &gt;<br>&gt; &gt; I can note this milestone in the Project Plan - I will list it for<br>&gt; &gt; November to account for the unlikely event that the deadline slips or<br>&gt; &gt; to demonstrate that we ship it earlier then expected :)<br>
&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Regards,<br>&gt; &gt; Christian Heinrich<br>&gt; &gt; <a href="http://www.owasp.org/index.php/user:cmlh"></a><a href="http://www.owasp.org/index.php/user:cmlh"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>
&gt; &gt; _______________________________________________<br>&gt; &gt; Global-projects-committee mailing list<br>&gt; &gt; <a href="mailto:Global-projects-committee@lists.owasp.org"></a><a href="mailto:Global-projects-committee@lists.owasp.org"><a href="mailto:Global-projects-committee@lists.owasp.org">Global-projects-committee@lists.owasp.org</a></a><br>
&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee"></a><a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee"><a href="https://lists.owasp.org/mailman/listinfo/global-projects-committee">https://lists.owasp.org/mailman/listinfo/global-projects-committee</a></a><br>
&gt; &gt;<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 6<br>&gt; Date: Tue, 26 Jul 2011 19:48:57 -0700 (PDT)<br>&gt; From: "Normando Macaraeg" &lt;<a href="mailto:nmacaraeg@jaspersoft.com"><a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a></a>&gt;<br>
&gt; Subject: [Esapi-user] using SafeRequest<br>&gt; To: &lt;<a href="mailto:esapi-user@lists.owasp.org"><a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a></a>&gt;<br>&gt; Message-ID: &lt;00a501cc4c07$c49f5480$4dddfd80$@com&gt;<br>&gt; Content-Type: text/plain;        charset="us-ascii"<br>
&gt; <br>&gt; Hi,<br>&gt; <br>&gt; Using the ESAPI Book as my guide, it looks like when I find code that<br>&gt; looks like: <br>&gt; <br>&gt; HttpSession session = request.getSession(); // unsafe session<br>&gt; <br>&gt; I should change the code to this:<br>
&gt; <br>&gt; HttpSession session = new SafeRequest( request ).getSession(); // safe<br>&gt; session<br>&gt; <br>&gt; But the book says this works only if I enable the ESAPIFilter.  How do I<br>&gt; enable the ESAPIFilter?<br>
&gt; <br>&gt; -Norm<br>&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 7<br>&gt; Date: Tue, 26 Jul 2011 23:32:01 -0400<br>&gt; From: "Kevin W. Wall" &lt;<a href="mailto:kevin.w.wall@gmail.com"><a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-user] using SafeRequest<br>&gt; To: Normando Macaraeg &lt;<a href="mailto:nmacaraeg@jaspersoft.com"><a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a></a>&gt;<br>&gt; Cc: <a href="mailto:esapi-user@lists.owasp.org"></a><a href="mailto:esapi-user@lists.owasp.org"><a href="mailto:esapi-user@lists.owasp.org">esapi-user@lists.owasp.org</a></a><br>
&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAOPE6Pj3joRXWCo8bJY+BJPDy9Z_om-AZDkokumJEiSFganNPQ@mail.gmail.com"><a href="mailto:CAOPE6Pj3joRXWCo8bJY+BJPDy9Z_om-AZDkokumJEiSFganNPQ@mail.gmail.com">CAOPE6Pj3joRXWCo8bJY+BJPDy9Z_om-AZDkokumJEiSFganNPQ@mail.gmail.com</a></a>&gt;<br>&gt; Content-Type: text/plain; charset=ISO-8859-1<br>
&gt; <br>&gt; On Tue, Jul 26, 2011 at 10:48 PM, Normando Macaraeg<br>&gt; &lt;<a href="mailto:nmacaraeg@jaspersoft.com"><a href="mailto:nmacaraeg@jaspersoft.com">nmacaraeg@jaspersoft.com</a></a>&gt; wrote:<br>&gt; &gt; Hi,<br>&gt; &gt;<br>&gt; &gt; Using the ESAPI Book as my guide, it looks like when I find code that<br>
&gt; &gt; looks like:<br>&gt; &gt;<br>&gt; &gt; HttpSession session = request.getSession(); // unsafe session<br>&gt; &gt;<br>&gt; &gt; I should change the code to this:<br>&gt; &gt;<br>&gt; &gt; HttpSession session = new SafeRequest( request ).getSession(); // safe<br>
&gt; &gt; session<br>&gt; &gt;<br>&gt; &gt; But the book says this works only if I enable the ESAPIFilter.  How do I<br>&gt; &gt; enable the ESAPIFilter?<br>&gt; <br>&gt; You configure it just like any other Java Servlet filter.<br>
&gt; In your WEB-INF/web.xml file, you would do something like<br>&gt; this:<br>&gt; <br>&gt;     &lt;web-app id="myWebApp"&gt;<br>&gt;         ...<br>&gt;         &lt;filter&gt;<br>&gt;             &lt;filter-name&gt;ESAPI-Filter&lt;/filter-name&gt;<br>
&gt;                 &lt;filter-class&gt;org.owasp.esapi.filters.ESAPIFilter&lt;/filter-class&gt;<br>&gt;                     &lt;!-- Note: Not sure it has any parameters. Check the<br>&gt;                          sourc code or ask Jeff Williams. I don't have time<br>
&gt;                          right now. However, this is how you specify<br>&gt;                          parameters. You can have more than one init-param<br>&gt;                          section. --&gt;<br>&gt;                 &lt;init-param&gt;<br>
&gt;                   &lt;param-name&gt;greetings&lt;/param-name&gt;<br>&gt;                   &lt;param-value&gt;Hello, World&lt;/param-value&gt;<br>&gt;                 &lt;/init-param&gt;<br>&gt;               &lt;/filter&gt;<br>
&gt; <br>&gt;               &lt;filter-mapping&gt;<br>&gt;                 &lt;filter-name&gt;ESAPI-Filter&lt;/filter-name&gt;<br>&gt;                 &lt;url-pattern&gt;/images/*&lt;/url-pattern&gt;<br>&gt;               &lt;/filter-mapping&gt;<br>
&gt;         &lt;/filter&gt;<br>&gt;         ...<br>&gt;     &lt;/web-app&gt;<br>&gt; <br>&gt; The exact syntax may be slightly different depending on what<br>&gt; Servlet Spec your JavaEE / servlet container adheres to. Shown<br>
&gt; above is for Servlet Spec 2.4.<br>&gt; <br>&gt; -kevin<br>&gt; --<br>&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/"></a><a href="http://off-the-wall-security.blogspot.com/"><a href="http://off-the-wall-security.blogspot.com/">http://off-the-wall-security.blogspot.com/</a></a><br>
&gt; "The most likely way for the world to be destroyed, most experts agree,<br>&gt; is by accident. That's where we come in; we're computer professionals.<br>&gt; We *cause* accidents."        -- Nathaniel Borenstein<br>
&gt; <br>&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; Message: 8<br>&gt; Date: Wed, 27 Jul 2011 16:54:00 +1000<br>&gt; From: Christian Heinrich &lt;<a href="mailto:christian.heinrich@owasp.org"><a href="mailto:christian.heinrich@owasp.org">christian.heinrich@owasp.org</a></a>&gt;<br>
&gt; Subject: Re: [Esapi-user] [Esapi-dev] .NET and Java WAF<br>&gt; To: "Kevin W. Wall" &lt;<a href="mailto:kevin.w.wall@gmail.com"><a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a></a>&gt;<br>&gt; Cc: ESAPI-Developers &lt;<a href="mailto:esapi-dev@lists.owasp.org"><a href="mailto:esapi-dev@lists.owasp.org">esapi-dev@lists.owasp.org</a></a>&gt;,        ESAPI-Users<br>
&gt;         &lt;<a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a>&gt;<br>&gt; Message-ID:<br>&gt;         &lt;<a href="mailto:CAFCvB5Lq+GHVgySp+Z0do4x0w4RdN1YF1wy5Bbk4PrXLeQcK6A@mail.gmail.com"><a href="mailto:CAFCvB5Lq+GHVgySp+Z0do4x0w4RdN1YF1wy5Bbk4PrXLeQcK6A@mail.gmail.com">CAFCvB5Lq+GHVgySp+Z0do4x0w4RdN1YF1wy5Bbk4PrXLeQcK6A@mail.gmail.com</a></a>&gt;<br>
&gt; Content-Type: text/plain; charset=ISO-8859-1<br>&gt; <br>&gt; Kevin,<br>&gt; <br>&gt; I have dropped the GPC for the moment from this discussion.<br>&gt; <br>&gt; On Wed, Jul 27, 2011 at 11:39 AM, Kevin W. Wall &lt;<a href="mailto:kevin.w.wall@gmail.com"><a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a></a>&gt; wrote:<br>
&gt; &gt; I concur. However, please do keep us in the loop, especially if you make<br>&gt; &gt; any changes that would affect out it is used in ESAPI. I think that we would<br>&gt; &gt; like to keep it as an option there and also be able to drop in your latest<br>
&gt; &gt; version.<br>&gt; <br>&gt; I can create a dependency in the Project Plan for this and a SVN tag<br>&gt; for the attention of EASPI Java.<br>&gt; <br>&gt; For your reference, Juan's import from ESAPI Java was<br>
&gt; <a href="http://code.google.com/p/owasp-java-waf/source/detail?r=2"></a><a href="http://code.google.com/p/owasp-java-waf/source/detail?r=2"><a href="http://code.google.com/p/owasp-java-waf/source/detail?r=2">http://code.google.com/p/owasp-java-waf/source/detail?r=2</a></a><br>&gt; <br>&gt; <br>
&gt; -- <br>&gt; Regards,<br>&gt; Christian Heinrich<br>&gt; <a href="http://www.owasp.org/index.php/user:cmlh"></a><a href="http://www.owasp.org/index.php/user:cmlh"><a href="http://www.owasp.org/index.php/user:cmlh">http://www.owasp.org/index.php/user:cmlh</a></a><br>&gt; <br>
&gt; <br>&gt; ------------------------------<br>&gt; <br>&gt; _______________________________________________<br>&gt; Esapi-user mailing list<br>&gt; <a href="mailto:Esapi-user@lists.owasp.org"></a><a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user"></a><a href="https://lists.owasp.org/mailman/listinfo/esapi-user"><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a></a><br>&gt; <br>&gt; <br>&gt; End of Esapi-user Digest, Vol 20, Issue 12<br>
&gt; ******************************************<br></div>                                               </div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Esapi-user mailing list</span><br><span><a href="mailto:Esapi-user@lists.owasp.org"><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/esapi-user"><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a></a></span><br></div></blockquote>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Esapi-user mailing list</span><br><span><a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/esapi-user">https://lists.owasp.org/mailman/listinfo/esapi-user</a></span><br></div></blockquote></body></html>