<div dir="ltr">Hi David,<div><br></div><div>I don&#39;t think your approach -whitelist learning- would perfectly fit when it comes to application security</div><div><br></div><div>I&#39;ll give you an example: I was teaching a security course to some students and started telling them, accept a username from a user and echo it back as &quot;Welcome [username]&quot;, all the students without exception wrote something like this (here I use C# example)</div>

<div><br></div><div>welcomeMessageLabel.Text = &quot;Welcome &quot; + usernameTextBox.Text;</div><div><br></div><div>the above statement is very natural, no one would ever thing that it&#39;s vulnerable to XSS for example even if I was teaching them Input Validation for 1 year, they will still consider the above statement safe because it&#39;s really very natural </div>

<div><br></div><div>so they have to learn about the main security vulnerabilities -blacklist approach- (OWASP Top 10, or SANS Top 25) to get a feel of how security vulnerabilities occur beside of course the whitelist approach (Input Validation, Secure Authentication,...etc)</div>

<div><br></div><div>so I believe that both are very important and you can&#39;t skip anyone of them</div><div><br></div><div>Thanks</div><div><br></div><div><a href="http://AllAboutApplicationSecurity.blogspot.com">Mostafa Siraj</a></div>

<div>Application Security Expert</div><div>ITWorx Egypt</div><div><a href="http://www.ITWorx.com">www.ITWorx.com</a></div><div><br><div class="gmail_quote">On Wed, Jul 15, 2009 at 12:10 PM, davidrook <span dir="ltr">&lt;<a href="mailto:david.rook@realexpayments.com">david.rook@realexpayments.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">For controversy dial C for Conor! :)<br>
<br>
I have one as well: &quot;The path to secure software does not start with<br>
specific vulnerabilities&quot;.<br>
<br>
I think anyone on the Irish mailing list will know I have been saying<br>
since the release of the Sans Top 25 list earlier this year that I don&#39;t<br>
think lists of vulnerabilities is the optimal approach to developer<br>
education and ultimately secure software. We as software security<br>
professionals are guilty of telling to developers to prevent a list of<br>
vulnerabilities instead of telling to develop securely, yes I do feel<br>
there is a difference here. Think of it this way, when you are learning<br>
to drive does the instructor give you a list of ways to crash a car and<br>
hope you figure out how to avoid all of those different ways of crashing<br>
or does he teach you how to drive safely and within the rules of the road?<br>
<br>
Everyone without fail in the application security community is guilty of<br>
doing this yet we blame the developers when the applications are<br>
insecure, are the security professionals not just as culpable for not<br>
educating developers correctly? Whether it be the OWASP top ten, PCI DSS<br>
Requirement 6.5 or companies offering secure development training they<br>
all focus on a small set of vulnerabilities instead of focusing on a set<br>
of secure development principles such as Input Validation, Error<br>
Handling and Secure Communications.<br>
<br>
Dave<br>
<br>
Conor Mc Goveran wrote:<br>
&gt; HTML5 could have been a unifying standard which may have halted the<br>
&gt; continued fracturing of the web as a platform, alas with the failure<br>
&gt; of the browser vendors to unify behind this standard (dropping the<br>
&gt; video tag due to lack of agreement on the codec) this will be the<br>
&gt; biggest missed opportunity of the decade. ALL of the developments that<br>
&gt; are good about the internet/web have come from a base of widely<br>
&gt; adopted and largely consistent implementation of the standards. The<br>
&gt; failure to bring the HTML standard into the shiny new world of the web<br>
&gt; application is the start of the end for web applications. Building web<br>
&gt; applications is hard because HTML/Javacript is definitely not a good<br>
&gt; foundation for an application platform. The reason it continues to<br>
&gt; increase in popularity is because HTML/Javascript while far from<br>
&gt; perfect is well implemented (despite Microsofts best efforts) and<br>
&gt; standardised even across OS/Browser combinations. Now we have AIR,<br>
&gt; Silverlight, Flash, Quicktime, Shockwave blah blah blah. All<br>
&gt; proprietary, all different, all crap.<br>
&gt; The web is dead. Dead? Yeah dead. US multinationals have screwed the<br>
&gt; pooch again. Can industry and in particular the US software behemoths<br>
&gt; actually ever create an innovative diverse and standardised eco-system<br>
&gt; for technology? Can they ever understand that actually starting to<br>
&gt; compete with each other on innovation rather than the red eyed craze<br>
&gt; of trying to dominate an industry through proprietary lockin will<br>
&gt; benefit everyone? Or is this the sole preserve of the academic<br>
&gt; community? I thought a quote from a Microsoft employee made to me in<br>
&gt; 2003 summed it all up when speaking about web services &#39;If only<br>
&gt; everyone had used DCOM, none of this would have been neccessary.&#39; Sigh!<br>
&gt;<br>
&gt; 2009/7/14 Eoin &lt;<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a> &lt;mailto:<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>&gt;&gt;<br>
<div><div></div><div class="h5">&gt;<br>
&gt;     Guys,<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     Any ideas of a *good* topic for a panel discussion which may<br>
&gt;     engage the initiated and non alike?<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     Something controversial? or bi partisan?  (&quot;The world is flat&quot; or<br>
&gt;     &quot;yes earth is in the middle of the universe&quot;) in order to make for<br>
&gt;     an interesting discussion?<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     Whoever comes up with the best one I&#39;ll buy them as much Guinness<br>
&gt;     as they can stomach (Tom Brennan not included).<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     -ek<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     --<br>
&gt;     Eoin Keary CISSP CISA<br>
&gt;     <a href="https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference" target="_blank">https://www.owasp.org/index.php/OWASP_Ireland_AppSec_2009_Conference</a><br>
&gt;<br>
&gt;     OWASP Code Review Guide Lead Author<br>
&gt;     OWASP Ireland Chapter Lead<br>
&gt;     OWASP Global Committee Member (Industry)<br>
&gt;<br>
&gt;     Quis custodiet ipsos custodes<br>
&gt;<br>
&gt;     <a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><br>
&gt;<br>
</div></div>&gt;     _______________________________________________<br>
&gt;     Owasp-ireland mailing list<br>
&gt;     <a href="mailto:Owasp-ireland@lists.owasp.org">Owasp-ireland@lists.owasp.org</a> &lt;mailto:<a href="mailto:Owasp-ireland@lists.owasp.org">Owasp-ireland@lists.owasp.org</a>&gt;<br>
&gt;     <a href="https://lists.owasp.org/mailman/listinfo/owasp-ireland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-ireland</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Conor Mc Goveran,<br>
&gt; Managing Director,<br>
&gt; Onformonics Ltd.<br>
&gt;<br>
&gt; Onformonics Ltd, Mount Carmel Hse, Firhouse Rd, Dublin 24, Ireland.<br>
&gt; Company Reg: 45503<br>
&gt; VAT: 9682767B<br>
&gt;<br>
&gt; Ph:        +353-14407576<br>
&gt; Mobile:  +353-872038598<br>
&gt; ------------------------------------------------------------------------<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; Owasp-ireland mailing list<br>
&gt; <a href="mailto:Owasp-ireland@lists.owasp.org">Owasp-ireland@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-ireland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-ireland</a><br>
&gt;<br>
<br>
--<br>
David Rook | <a href="mailto:david.rook@realexpayments.com">david.rook@realexpayments.com</a><br>
Security Analyst<br>
<br>
Realex Payments<br>
Enabling thousands of businesses to sell online.<br>
<br>
Visit our new website: <a href="http://www.onlinepayments.ie" target="_blank">www.onlinepayments.ie</a><br>
<br>
Follow us on Twitter! <a href="http://www.twitter.com/realexpayments" target="_blank">www.twitter.com/realexpayments</a><br>
<br>
Castlecourt, Monkstown Farm, Monkstown, Co Dublin, Ireland<br>
|t: +353 1 2808559 | f: +353 1 2808538  | <a href="http://www.realexpayments.com" target="_blank">www.realexpayments.com</a><br>
<br>
1 Lyric Square, London W6 0NB<br>
t: +44 203 1785370 | f: +44 207 6917264  | <a href="http://www.realexpayments.co.uk" target="_blank">www.realexpayments.co.uk</a><br>
<br>
27 avenue de l&#39;Opéra, 75001 Paris.<br>
t: +33 (0)1 70 38 51 37  | f: +33 (0)1 70 38 51 51<br>
<br>
Visit our other Realex Payments websites:<br>
<a href="http://www.airlinepayments.com" target="_blank">www.airlinepayments.com</a><br>
<a href="http://www.sepa.ie" target="_blank">www.sepa.ie</a><br>
<br>
Pay and Shop Limited, trading as Realex Payments has its registered office at Castlecourt, Monkstown Farm, Monkstown, Co. Dublin, Ireland and is registered in Ireland, company number 324929.<br>
<br>
This mail and any documents attached are classified as confidential and are intended for use by the addressee(s) only unless otherwise indicated. If you are not an intended recipient of this email, you must not use, disclose, copy, distribute or retain this message or any part of it. If you have received this email in error, please notify us immediately and delete all copies of this email from your computer system(s).<br>


<br>
<br>
_______________________________________________<br>
Owasp-codereview mailing list<br>
<a href="mailto:Owasp-codereview@lists.owasp.org">Owasp-codereview@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-codereview" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-codereview</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>&quot;Our deepest fear is not that we are inadequate. Our deepest fear is that we are powerful beyond measure. It is our light, not our darkness, that most frightens us. We ask ourselves, who am I to be brilliant, gorgeous, talented, and fabulous?Actually, who are you not to be? You are a child of God. Your playing small doesn&#39;t serve the world. There&#39;s nothing enlightened about shrinking so that other people won&#39;t feel insecure around you. We are all meant to shine, as children do. We are born to make manifest the glory of God that is within us. It&#39;s not just in some of us, it&#39;s in everyone. And as we let our own light shine, we unconsciously give other people permission to do the same. As we are liberated from our own fear, our presence automatically liberates others.&quot; --Nelson Mandela--<br>


</div></div>