<HTML dir=ltr><HEAD><TITLE>RE: FW: PHP_ESAPI</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16809" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText13489 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Hi Linden!</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT size=2><FONT face=Arial>&nbsp;&nbsp; I have checked already the link </FONT><A href="http://www.owasp.org/index.php/ESAPI#tab=PHP"><FONT face=Arial>http://www.owasp.org/index.php/ESAPI#tab=PHP</FONT></A><FONT face=Arial>&nbsp;. It does not provide any information about the status of the project and resources like documentation or source codes etc.</FONT></FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr>
<DIV dir=ltr><FONT face=Arial size=2>&gt;&gt;<FONT face="Times New Roman">By browsing the 'source' area of owasp_esapi_php on google code you will find the code for the latest revision. E.g.: </FONT><A href="http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src"><FONT face="Times New Roman">http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src</FONT></A></FONT></DIV></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT size=2><FONT face=Arial>And </FONT><A href="http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src"><FONT face=Arial>http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src</FONT></A><FONT face=Arial>&nbsp;does not work at all. Even </FONT><A href="http://code.google.com/p/owasp-esapi-php/source"><FONT face=Arial>http://code.google.com/p/owasp-esapi-php/source</FONT></A><FONT face=Arial> doesn't work.</FONT></FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>I am unable to find anything substantial so far.</FONT></DIV>
<DIV dir=ltr><FONT size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT size=2>Regards,</FONT></DIV>
<DIV dir=ltr><FONT size=2>Nilesh</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>&nbsp;&nbsp;&nbsp; </FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-esapi-bounces@lists.owasp.org on behalf of Linden Darling<BR><B>Sent:</B> Sun 3/29/2009 2:23 PM<BR><B>To:</B> owasp-esapi@lists.owasp.org<BR><B>Subject:</B> RE: FW: PHP_ESAPI<BR></FONT><BR></DIV>
<DIV>
<P><FONT size=2>By browsing the 'source' area of owasp_esapi_php on google code you will find the code for the latest revision. E.g.: <A href="http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src">http://code.google.com/p/owasp-esapi-php/source/browse/#svn/trunk/src</A></FONT></P>
<P><FONT size=2>By pressing the 'PHP' tab on the OWASP ESAPI Project page you will see information pertaining to the ESAPI for PHP Project: <A href="http://www.owasp.org/index.php/ESAPI#tab=PHP">http://www.owasp.org/index.php/ESAPI#tab=PHP</A></FONT></P>
<P><FONT size=2>~~~~~~~~~~~~~~</FONT> <BR><FONT size=2>Linden Darling</FONT> <BR><FONT size=2>JDS Australia</FONT> <BR><FONT size=2>~~~~~~~~~~~~~~</FONT> </P>
<P><FONT size=2>-----Original Message-----</FONT> <BR><FONT size=2>From: owasp-esapi-bounces@lists.owasp.org on behalf of owasp-esapi-request@lists.owasp.org</FONT> <BR><FONT size=2>Sent: Fri 27/03/2009 22:51</FONT> <BR><FONT size=2>To: owasp-esapi@lists.owasp.org</FONT> <BR><FONT size=2>Subject: OWASP-ESAPI Digest, Vol 18, Issue 16</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>Send OWASP-ESAPI mailing list submissions to</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>owasp-esapi@lists.owasp.org</FONT> </P>
<P><FONT size=2>To subscribe or unsubscribe via the World Wide Web, visit</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2><A href="https://lists.owasp.org/mailman/listinfo/owasp-esapi">https://lists.owasp.org/mailman/listinfo/owasp-esapi</A></FONT> <BR><FONT size=2>or, via email, send a message with subject or body 'help' to</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>owasp-esapi-request@lists.owasp.org</FONT> </P>
<P><FONT size=2>You can reach the person managing the list at</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>owasp-esapi-owner@lists.owasp.org</FONT> </P>
<P><FONT size=2>When replying, please edit your Subject line so it is more specific</FONT> <BR><FONT size=2>than "Re: Contents of OWASP-ESAPI digest..."</FONT> </P><BR>
<P><FONT size=2>Today's Topics:</FONT> </P>
<P><FONT size=2>&nbsp;&nbsp; 1. Re: ESAPI : CSRF with struts (Sukhmeet Sethi (India))</FONT> <BR><FONT size=2>&nbsp;&nbsp; 2. Ronald A Garlit/AMER/AEB/AEXP is out of the office.</FONT> <BR><FONT size=2>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (Ronald A Garlit)</FONT> <BR><FONT size=2>&nbsp;&nbsp; 3. FW: PHP_ESAPI (Nilesh Kumar (India))</FONT> </P><BR>
<P><FONT size=2>----------------------------------------------------------------------</FONT> </P>
<P><FONT size=2>Message: 1</FONT> <BR><FONT size=2>Date: Fri, 27 Mar 2009 13:48:40 +0530</FONT> <BR><FONT size=2>From: "Sukhmeet Sethi (India)" &lt;Sukhmeet.Sethi@sdgc.com&gt;</FONT> <BR><FONT size=2>Subject: Re: [OWASP-ESAPI] ESAPI : CSRF with struts</FONT> <BR><FONT size=2>To: "Jim Manico" &lt;jim.manico@owasp.org&gt;,&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;owasp-esapi@lists.owasp.org&gt;</FONT> <BR><FONT size=2>Message-ID:</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>&lt;B3A4B574404BA3449A74A5B78B5F2594544F48@sdgind015.india.sdgc.com&gt;</FONT> <BR><FONT size=2>Content-Type: text/plain; charset="us-ascii"</FONT> </P>
<P><FONT size=2>Thanks for the quick response. I will implement this and let you know.</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>Sukhi</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>-----Original Message-----</FONT> <BR><FONT size=2>From: owasp-esapi-bounces@lists.owasp.org</FONT> <BR><FONT size=2>[<A href="mailto:owasp-esapi-bounces@lists.owasp.org">mailto:owasp-esapi-bounces@lists.owasp.org</A>] On Behalf Of Jim Manico</FONT> <BR><FONT size=2>Sent: Friday, March 27, 2009 12:50 PM</FONT> <BR><FONT size=2>To: Sukhmeet Sethi (India); owasp-esapi@lists.owasp.org</FONT> <BR><FONT size=2>Subject: Re: [OWASP-ESAPI] ESAPI : CSRF with struts</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>I feel you only want CSRF tokens when user actions change the state of</FONT> <BR><FONT size=2>data. So what I do is :</FONT> </P>
<P><FONT size=2>1) After sucessful login, I generate a CSRF token and stick it in</FONT> <BR><FONT size=2>session for that user (I think unique per-request CSRF tokens is</FONT> <BR><FONT size=2>overkill)</FONT> <BR><FONT size=2>2) Whenever I build a form that necessitates CSRF protection, I stick in</FONT> <BR><FONT size=2>a CSRF hidden variable in it.&nbsp; &lt;html:hidden property="csrf" /&gt;</FONT> <BR><FONT size=2>&nbsp;&nbsp;&nbsp; 2a) My Stuts form objects all descend from a parent that</FONT> <BR><FONT size=2>automatically populates the CSRF token if it exists in the form (see</FONT> <BR><FONT size=2>below) so all I need to do is drop in the csrf hidden variable.</FONT> <BR><FONT size=2>&nbsp;&nbsp;&nbsp; 2a) I then add verifyCSRFToken() to the top of actions that need to</FONT> <BR><FONT size=2>enforce CSRF protection.</FONT> <BR><FONT size=2>3) If I want to add CSRF protection to a GET parameter, then I'm being</FONT> <BR><FONT size=2>lazy. Whenever you see GETS needing CSRF protection, you are designing</FONT> <BR><FONT size=2>wrong - you should move those to posts. But, I break this rule - so I</FONT> <BR><FONT size=2>just manually stick a CSRF token to my gets that necessitate CSRF</FONT> <BR><FONT size=2>protection (when building these URL in JSP's or the like) and add the</FONT> <BR><FONT size=2>verify function to those actions. Pretty simple.</FONT> <BR><FONT size=2>public class ParentActionForm extends ActionForm {</FONT> <BR><FONT size=2>String csrf;</FONT> <BR><FONT size=2>public String getCsrf() {</FONT> <BR><FONT size=2>return csrf;</FONT> <BR><FONT size=2>}</FONT> <BR><FONT size=2>public void setCsrf(String csrf) {</FONT> <BR><FONT size=2>this.csrf = csrf;</FONT> <BR><FONT size=2>}</FONT> <BR><FONT size=2>public void reset(ActionMapping mapping,</FONT> <BR><FONT size=2>javax.servlet.http.HttpServletRequest request) {</FONT> <BR><FONT size=2>setCsrf(ESAPI.httpUtilities().getCSRFToken());</FONT> <BR><FONT size=2>}</FONT> <BR><FONT size=2>}</FONT> </P>
<P><FONT size=2>- Jim</FONT> <BR><FONT size=2>----- Original Message ----- </FONT><BR><FONT size=2>From: Sukhmeet Sethi (India) </FONT><BR><FONT size=2>To: owasp-esapi@lists.owasp.org </FONT><BR><FONT size=2>Sent: Thursday, March 26, 2009 9:02 PM</FONT> <BR><FONT size=2>Subject: [OWASP-ESAPI] ESAPI : CSRF with struts</FONT> </P><BR>
<P><FONT size=2>Hi there,</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>I am trying to implement ESAPI - CSRF security in Struts web application</FONT> <BR><FONT size=2>but wonder, how can I include CSRF token with each action.</FONT> <BR><FONT size=2>As per documentation, I can add CSRF token to any URL using following</FONT> <BR><FONT size=2>code:</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>String url = ESAPI.httpUtilities().addCSRFToken( "/example/action?t=1"</FONT> <BR><FONT size=2>);</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>But what if I want to include token to all my action URL's as in struts,</FONT> <BR><FONT size=2>the desired URL is generated through struts-config's action mapping.</FONT> <BR><FONT size=2>Kindly let me know if there's way out or if there's any example</FONT> <BR><FONT size=2>available.</FONT> <BR><FONT size=2>&nbsp;</FONT> <BR><FONT size=2>Cheers,</FONT> <BR><FONT size=2>Sukhi</FONT> <BR><FONT size=2>&nbsp;</FONT> </P><BR><BR>
<P><FONT size=2>_______________________________________________</FONT> <BR><FONT size=2>OWASP-ESAPI mailing list</FONT> <BR><FONT size=2>OWASP-ESAPI@lists.owasp.org</FONT> <BR><FONT size=2><A href="https://lists.owasp.org/mailman/listinfo/owasp-esapi">https://lists.owasp.org/mailman/listinfo/owasp-esapi</A></FONT> <BR><FONT size=2>-------------- next part --------------</FONT> <BR><FONT size=2>An HTML attachment was scrubbed...</FONT> <BR><FONT size=2>URL: <A href="https://lists.owasp.org/pipermail/owasp-esapi/attachments/20090327/f648c734/attachment-0001.html">https://lists.owasp.org/pipermail/owasp-esapi/attachments/20090327/f648c734/attachment-0001.html</A> </FONT></P>
<P><FONT size=2>------------------------------</FONT> </P>
<P><FONT size=2>Message: 2</FONT> <BR><FONT size=2>Date: Fri, 27 Mar 2009 04:07:44 -0700</FONT> <BR><FONT size=2>From: Ronald A Garlit &lt;ronald.a.garlit@aexp.com&gt;</FONT> <BR><FONT size=2>Subject: [OWASP-ESAPI] Ronald A Garlit/AMER/AEB/AEXP is out of the</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>office.</FONT> <BR><FONT size=2>To: owasp-esapi@lists.owasp.org</FONT> <BR><FONT size=2>Message-ID:</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>&lt;OFA972B5B2.1C6F5BAF-ON07257586.003D2208-07257586.003D2208@aexp.com&gt;</FONT> <BR><FONT size=2>Content-Type: text/plain; charset=US-ASCII</FONT> </P><BR>
<P><FONT size=2>I will be out of the office starting&nbsp; 03/27/2009 and will not return until</FONT> <BR><FONT size=2>03/28/2009.</FONT> </P>
<P><FONT size=2>I'm out of the office on PTO but can be reached for emergencies on my personal</FONT> <BR><FONT size=2>cell phone at 856-430-1623.&nbsp; Have a nice day!</FONT> </P><BR><BR>
<P><FONT size=2>------------------------------</FONT> </P>
<P><FONT size=2>Message: 3</FONT> <BR><FONT size=2>Date: Fri, 27 Mar 2009 17:23:40 +0530</FONT> <BR><FONT size=2>From: "Nilesh Kumar (India)" &lt;Nilesh.Kumar@sdgc.com&gt;</FONT> <BR><FONT size=2>Subject: [OWASP-ESAPI] FW: PHP_ESAPI</FONT> <BR><FONT size=2>To: &lt;owasp-esapi@lists.owasp.org&gt;</FONT> <BR><FONT size=2>Message-ID:</FONT> <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <FONT size=2>&lt;B3A4B574404BA3449A74A5B78B5F25945CD749@sdgind015.india.sdgc.com&gt;</FONT> <BR><FONT size=2>Content-Type: text/plain; charset="us-ascii"</FONT> </P>
<P><FONT size=2>Hi there!</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>&nbsp;&nbsp; Could anybody&nbsp; provide me&nbsp; the information below...?</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Thanks,</FONT> </P>
<P><FONT size=2>Nilesh</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>From: Nilesh Kumar (India) </FONT><BR><FONT size=2>Sent: Thursday, March 26, 2009 3:31 PM</FONT> <BR><FONT size=2>To: 'vanderaj@owasp.org'</FONT> <BR><FONT size=2>Subject: PHP_ESAPI</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Hi Andrew,</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>&nbsp;&nbsp;&nbsp; I want to contribute towards PHP ESAPI project. Just wanted to know</FONT> <BR><FONT size=2>about the project's status like, </FONT></P>
<P><FONT size=2>what has been done so far?</FONT> </P>
<P><FONT size=2>what modules has been developed?</FONT> </P>
<P><FONT size=2>how can I access the resources like, documentation or source codes of</FONT> <BR><FONT size=2>already developed modules?</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Or I need to start form the scratch?</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Please provide me complete roadmap of the project done till date and</FONT> <BR><FONT size=2>provide me information how to start.</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Waiting for your response!</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>Thanks,</FONT> </P>
<P><FONT size=2>Nilesh Kumar CEH ISMS LA</FONT> </P>
<P><FONT size=2>Security Specialist</FONT> </P>
<P><FONT size=2>Governance,Risk &amp;&nbsp; Compliance (GRC)</FONT> <BR><FONT size=2>________________________________________________________________________</FONT> </P><BR>
<P><FONT size=2>Cell:+91-9891524880 </FONT></P><BR>
<P><FONT size=2>SDG Software India Pvt. Ltd. </FONT><BR><FONT size=2>A-10, Sector 2,NOIDA 201301, (UP), INDIA </FONT><BR><FONT size=2>Website: www.sdgc.com </FONT></P>
<P><FONT size=2>Please Note: The e-mail content is intended for the sole use of the</FONT> <BR><FONT size=2>intended recipient/s and may contain material that is CONFIDENTIAL AND</FONT> <BR><FONT size=2>PRIVATE COMPANY INFORMATION. Any review or reliance by others or copying</FONT> <BR><FONT size=2>or distribution or forwarding of any or all of the contents in this</FONT> <BR><FONT size=2>message is STRICTLY PROHIBITED. If you have erroneously received this</FONT> <BR><FONT size=2>message, please delete it immediately and notify the sender. Before</FONT> <BR><FONT size=2>opening any attachments please check them for viruses and defects.</FONT> </P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>-------------- next part --------------</FONT> <BR><FONT size=2>An HTML attachment was scrubbed...</FONT> <BR><FONT size=2>URL: <A href="https://lists.owasp.org/pipermail/owasp-esapi/attachments/20090327/773d5a3d/attachment.html">https://lists.owasp.org/pipermail/owasp-esapi/attachments/20090327/773d5a3d/attachment.html</A> </FONT></P>
<P><FONT size=2>------------------------------</FONT> </P>
<P><FONT size=2>_______________________________________________</FONT> <BR><FONT size=2>OWASP-ESAPI mailing list</FONT> <BR><FONT size=2>OWASP-ESAPI@lists.owasp.org</FONT> <BR><FONT size=2><A href="https://lists.owasp.org/mailman/listinfo/owasp-esapi">https://lists.owasp.org/mailman/listinfo/owasp-esapi</A></FONT> </P><BR>
<P><FONT size=2>End of OWASP-ESAPI Digest, Vol 18, Issue 16</FONT> <BR><FONT size=2>*******************************************</FONT> </P></DIV></BODY></HTML>