I really hope that is not your real, production SA password... <br><br><br><br><div class="gmail_quote">On Thu, Aug 25, 2011 at 5:49 AM, John Melton <span dir="ltr">&lt;<a href="mailto:jtmelton@gmail.com">jtmelton@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Sorry, but am I missing something? The stack trace shows the same exact issue that was answered yesterday. The jsp being forwarded to doesn&#39;t start w/ &quot;WEB-INF/&quot;. That&#39;s why the AccessControlException is being thrown. Move the JSP to the WEB-INF directory and you should be good. <br>


Thanks,<br><font color="#888888">John</font><div><div></div><div class="h5"><br><br><div class="gmail_quote">On Thu, Aug 25, 2011 at 8:07 AM, Jeff Williams <span dir="ltr">&lt;<a href="mailto:jeff.williams@aspectsecurity.com" target="_blank">jeff.williams@aspectsecurity.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">What happens?  Do you get an error?  Sounds like a classpath or import problem, but you can&#39;t devug problems without information.<br>



<font color="#888888"><br>
--Jeff<br>
</font><div><div></div><div><br>
<br>
<br>
On Aug 25, 2011, at 7:47 AM, &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>&gt; wrote:<br>
<br>
&gt; Anyone have any ideas?<br>
&gt; Asish, please post these to the ESAPI users list and do not send<br>
&gt; to indivuals. Thanks.<br>
&gt;<br>
&gt; -kevin<br>
&gt;<br>
&gt; ---------- Forwarded message ----------<br>
&gt; From: ashish kumar gautam &lt;<a href="mailto:gautamashishkumar@gmail.com" target="_blank">gautamashishkumar@gmail.com</a>&gt;<br>
&gt; Date: Thu, Aug 25, 2011 at 3:36 AM<br>
&gt; Subject: Re: ESAPI.httpUtilities().sendForward() Help<br>
&gt; To: &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>&gt;<br>
&gt;<br>
&gt;<br>
&gt; Dear Sir,<br>
&gt;<br>
&gt; I am able to call ESAPI.httpUtilities().sendForward(); from jsp file<br>
&gt; But sir<br>
&gt; I am not able to call ESAPI.httpUtilities().sendForward(); from Servlet file<br>
&gt;<br>
&gt; thanks for Reply<br>
&gt;<br>
&gt;<br>
&gt; On Wed, Aug 24, 2011 at 7:27 PM, Kevin W. Wall &lt;<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; I meant your log4j *output* file, not the config file. In your case, you are<br>
&gt;&gt; using ConsoleAppender, so the output should be going to stdout or stderr<br>
&gt;&gt; and will probably end up in catalina.out or wherever Tomcat dumps it.<br>
&gt;&gt; Also, set the log level for all ESAPI classes to &#39;debug&#39;.<br>
&gt;&gt;<br>
&gt;&gt; -kevin<br>
&gt;&gt;<br>
&gt;&gt; On Wed, Aug 24, 2011 at 8:54 AM, ashish kumar gautam<br>
&gt;&gt; &lt;<a href="mailto:gautamashishkumar@gmail.com" target="_blank">gautamashishkumar@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Hi.......<br>
&gt;&gt;&gt; i am using ESAPI.httpUtilities().sendForward();<br>
&gt;&gt;&gt; but i have got exception :<br>
&gt;&gt;&gt; Exception massage :<br>
&gt;&gt;&gt; org.owasp.esapi.errors.AccessControlException: Forward failed<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.owasp.esapi.reference.DefaultHTTPUtilities.sendForward(DefaultHTTPUtilities.java:791)<br>
&gt;&gt;&gt; at DataBaseConnection.doPost(DataBaseConnection.java:107)<br>
&gt;&gt;&gt; at javax.servlet.http.HttpServlet.service(HttpServlet.java:637)<br>
&gt;&gt;&gt; at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:290)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:233)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:191)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:127)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:298)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:859)<br>
&gt;&gt;&gt; at<br>
&gt;&gt;&gt; org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:588)<br>
&gt;&gt;&gt; at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:489)<br>
&gt;&gt;&gt; at java.lang.Thread.run(Unknown Source)<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; My Code Like This:<br>
&gt;&gt;&gt; if(role==1)<br>
&gt;&gt;&gt; {<br>
&gt;&gt;&gt;          session.setAttribute(&quot;SERVERToken&quot;,str);<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;  ESAPI.httpUtilities().sendForward(request,response,&quot;useraccount.jsp&quot;);<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; }<br>
&gt;&gt;&gt; else if(role==2)<br>
&gt;&gt;&gt; {<br>
&gt;&gt;&gt; session.setAttribute(&quot;SERVERToken&quot;,str);<br>
&gt;&gt;&gt; ESAPI.httpUtilities().sendForward(request,response,&quot;adminaccount.jsp&quot;);<br>
&gt;&gt;&gt; }<br>
&gt;&gt;&gt; }<br>
&gt;&gt;&gt; else<br>
&gt;&gt;&gt; {<br>
&gt;&gt;&gt; ESAPI.httpUtilities().sendForward(request,response,&quot;loginfail.jsp&quot;);<br>
&gt;&gt;&gt; }<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; web.xml file content:<br>
&gt;&gt;&gt; &lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt;<br>
&gt;&gt;&gt; &lt;web-app id=&quot;WebApp_ID&quot; version=&quot;2.4&quot;<br>
&gt;&gt;&gt; xmlns=&quot;<a href="http://java.sun.com/xml/ns/j2ee" target="_blank">http://java.sun.com/xml/ns/j2ee</a>&quot;<br>
&gt;&gt;&gt; xmlns:xsi=&quot;<a href="http://www.w3.org/2001/XMLSchema-instance" target="_blank">http://www.w3.org/2001/XMLSchema-instance</a>&quot;<br>
&gt;&gt;&gt; xsi:schemaLocation=&quot;<a href="http://java.sun.com/xml/ns/j2ee" target="_blank">http://java.sun.com/xml/ns/j2ee</a><br>
&gt;&gt;&gt; <a href="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" target="_blank">http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd</a>&quot;&gt;<br>
&gt;&gt;&gt; &lt;display-name&gt;<br>
&gt;&gt;&gt; infosystem&lt;/display-name&gt;<br>
&gt;&gt;&gt; &lt;welcome-file-list&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;index.html&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;index.htm&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;index.jsp&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;default.html&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;default.htm&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;welcome-file&gt;default.jsp&lt;/welcome-file&gt;<br>
&gt;&gt;&gt; &lt;/welcome-file-list&gt;<br>
&gt;&gt;&gt; &lt;!-- Database Configration Seeting --&gt;<br>
&gt;&gt;&gt; &lt;context-param&gt;<br>
&gt;&gt;&gt;         &lt;param-name&gt;datasource&lt;/param-name&gt;<br>
&gt;&gt;&gt;         &lt;param-value&gt;csgcirt&lt;/param-value&gt;<br>
&gt;&gt;&gt;     &lt;/context-param&gt;<br>
&gt;&gt;&gt;     &lt;context-param&gt;<br>
&gt;&gt;&gt;         &lt;param-name&gt;dbuser&lt;/param-name&gt;<br>
&gt;&gt;&gt;         &lt;param-value&gt;sa&lt;/param-value&gt;<br>
&gt;&gt;&gt;     &lt;/context-param&gt;<br>
&gt;&gt;&gt;     &lt;context-param&gt;<br>
&gt;&gt;&gt;         &lt;param-name&gt;dbpassword&lt;/param-name&gt;<br>
&gt;&gt;&gt;         &lt;param-value&gt;sa123&lt;/param-value&gt;<br>
&gt;&gt;&gt; &lt;/context-param&gt;<br>
&gt;&gt;&gt; &lt;context-param&gt;<br>
&gt;&gt;&gt;         &lt;param-name&gt;dbip&lt;/param-name&gt;<br>
&gt;&gt;&gt;         &lt;param-value&gt;<a href="http://10.1.10.129:1433" target="_blank">10.1.10.129:1433</a>&lt;/param-value&gt;<br>
&gt;&gt;&gt;     &lt;/context-param&gt;<br>
&gt;&gt;&gt; &lt;context-param&gt;<br>
&gt;&gt;&gt;         &lt;param-name&gt;dbname&lt;/param-name&gt;<br>
&gt;&gt;&gt;         &lt;param-value&gt;INFORMATIONSYSTEM&lt;/param-value&gt;<br>
&gt;&gt;&gt;     &lt;/context-param&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;     &lt;!-- Mapping for DataBaseConnection.java Servlet --&gt;<br>
&gt;&gt;&gt; &lt;servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-name&gt;DataBaseConnection&lt;/servlet-name&gt;<br>
&gt;&gt;&gt; &lt;servlet-class&gt;DataBaseConnection&lt;/servlet-class&gt;<br>
&gt;&gt;&gt; &lt;/servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-mapping&gt;<br>
&gt;&gt;&gt;     &lt;servlet-name&gt;DataBaseConnection&lt;/servlet-name&gt;<br>
&gt;&gt;&gt;       &lt;url-pattern&gt;/servlet/DataBaseConnection&lt;/url-pattern&gt;<br>
&gt;&gt;&gt; &lt;/servlet-mapping&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;     &lt;!-- Mapping for DataBaseConnection.java Servlet --&gt;<br>
&gt;&gt;&gt; &lt;servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-name&gt;DataBaseConnection2&lt;/servlet-name&gt;<br>
&gt;&gt;&gt; &lt;servlet-class&gt;DataBaseConnection2&lt;/servlet-class&gt;<br>
&gt;&gt;&gt; &lt;/servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-mapping&gt;<br>
&gt;&gt;&gt;     &lt;servlet-name&gt;DataBaseConnection2&lt;/servlet-name&gt;<br>
&gt;&gt;&gt;       &lt;url-pattern&gt;/servlet/DataBaseConnection2&lt;/url-pattern&gt;<br>
&gt;&gt;&gt; &lt;/servlet-mapping&gt;<br>
&gt;&gt;&gt; &lt;!-- Mapping for DataBaseConnection.java Servlet --&gt;<br>
&gt;&gt;&gt; &lt;servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-name&gt;Logout&lt;/servlet-name&gt;<br>
&gt;&gt;&gt; &lt;servlet-class&gt;Logout&lt;/servlet-class&gt;<br>
&gt;&gt;&gt; &lt;/servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-mapping&gt;<br>
&gt;&gt;&gt;     &lt;servlet-name&gt;Logout&lt;/servlet-name&gt;<br>
&gt;&gt;&gt;       &lt;url-pattern&gt;/servlet/Logout&lt;/url-pattern&gt;<br>
&gt;&gt;&gt; &lt;/servlet-mapping&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;     &lt;servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-name&gt;ActiveDeactiveNews&lt;/servlet-name&gt;<br>
&gt;&gt;&gt; &lt;servlet-class&gt;ActiveDeactiveNews&lt;/servlet-class&gt;<br>
&gt;&gt;&gt; &lt;/servlet&gt;<br>
&gt;&gt;&gt; &lt;servlet-mapping&gt;<br>
&gt;&gt;&gt;     &lt;servlet-name&gt;ActiveDeactiveNews&lt;/servlet-name&gt;<br>
&gt;&gt;&gt;       &lt;url-pattern&gt;/servlet/ActiveDeactiveNews&lt;/url-pattern&gt;<br>
&gt;&gt;&gt; &lt;/servlet-mapping&gt;<br>
&gt;&gt;&gt; &lt;/web-app&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; log4j.xml<br>
&gt;&gt;&gt; &lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot; ?&gt;<br>
&gt;&gt;&gt; &lt;!DOCTYPE log4j:configuration SYSTEM &quot;log4j.dtd&quot;&gt;<br>
&gt;&gt;&gt; &lt;!-- main resources --&gt;<br>
&gt;&gt;&gt; &lt;log4j:configuration xmlns:log4j=&quot;<a href="http://jakarta.apache.org/log4j/" target="_blank">http://jakarta.apache.org/log4j/</a>&quot;&gt;<br>
&gt;&gt;&gt;   &lt;appender name=&quot;console&quot; class=&quot;org.apache.log4j.ConsoleAppender&quot;&gt;<br>
&gt;&gt;&gt;     &lt;param name=&quot;Target&quot; value=&quot;System.out&quot;/&gt;<br>
&gt;&gt;&gt;     &lt;layout class=&quot;org.apache.log4j.PatternLayout&quot;&gt;<br>
&gt;&gt;&gt;       &lt;param name=&quot;ConversionPattern&quot; value=&quot;%-5p %m%n&quot;/&gt;<br>
&gt;&gt;&gt;     &lt;/layout&gt;<br>
&gt;&gt;&gt;   &lt;/appender&gt;<br>
&gt;&gt;&gt;     &lt;appender name=&quot;file&quot; class=&quot;org.apache.log4j.FileAppender&quot;&gt;<br>
&gt;&gt;&gt;         &lt;param name=&quot;File&quot; value=&quot;target/unit-tests.log&quot;/&gt;<br>
&gt;&gt;&gt;         &lt;layout class=&quot;org.apache.log4j.PatternLayout&quot;&gt;<br>
&gt;&gt;&gt;           &lt;param name=&quot;ConversionPattern&quot; value=&quot;%-5p %m%n&quot;/&gt;<br>
&gt;&gt;&gt;         &lt;/layout&gt;<br>
&gt;&gt;&gt;     &lt;/appender&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestTrace&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;trace&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestDebug&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;debug&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestInfo&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;info&quot;/&gt;<br>
&gt;&gt;&gt;  &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestWarning&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;warn&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestError&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;error&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference.TestFatal&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;fatal&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;logger name=&quot;org.owasp.esapi.reference&quot;&gt;<br>
&gt;&gt;&gt;     &lt;level value=&quot;info&quot;/&gt;<br>
&gt;&gt;&gt;   &lt;/logger&gt;<br>
&gt;&gt;&gt;   &lt;root&gt;<br>
&gt;&gt;&gt;     &lt;priority value=&quot;debug&quot; /&gt;<br>
&gt;&gt;&gt;     &lt;appender-ref ref=&quot;file&quot; /&gt;<br>
&gt;&gt;&gt;   &lt;/root&gt;<br>
&gt;&gt;&gt;   &lt;loggerFactory class=&quot;org.owasp.esapi.reference.Log4JLoggerFactory&quot;/&gt;<br>
&gt;&gt;&gt; &lt;/log4j:configuration&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; --<br>
&gt;&gt;&gt; Best regards,<br>
&gt;&gt;&gt; Ashish K. Gautam<br>
&gt;&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; --<br>
&gt;&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
&gt;&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>
&gt;&gt; is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>
&gt;&gt; We *cause* accidents.&quot;        -- Nathaniel Borenstein<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Best regards,<br>
&gt; Ashish K. Gautam<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>
&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>
&gt; is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>
&gt; We *cause* accidents.&quot;        -- Nathaniel Borenstein<br>
&gt; _______________________________________________<br>
&gt; Esapi-user mailing list<br>
&gt; <a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
</div></div></blockquote></div><br>
</div></div><br>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br>