You are right. That would be the right place for it to be.<br>Though I dont know if this has been taken up with them, what I can guess is that they would be in no big hurry to implement it, especially since these are heavily used functions/properties.<br>
<br>ESAPI is the right place where the effects of doing something like this can be checked and then moved up to the platform itself, where it belongs.<br><br>Ideally a lot of features from the SafeRequest and HttpUtilities classes should be part of the framework itself I think. But they are not.<br>
<br>Cheers,<br>Lava<br><a href="http://www.lavakumar.com">http://www.lavakumar.com</a><br><br><br><div class="gmail_quote">On Wed, Aug 26, 2009 at 6:32 PM, Neil Matatall <span dir="ltr">&lt;<a href="mailto:nmatatal@uci.edu">nmatatal@uci.edu</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="im">&gt;E.g., for Java, it should get pushed back to the Java Servlet container<br>

and API spec.<br>
<br>
</div>Yay!  That was always one of the goals for ESAPI.  Are there any other<br>
cases of ideas being adopted by their respective processes?  http-only?<br>
<br>
Neil<br>
<div><div></div><div class="h5"><br>
<br>
&gt; lavakumar kuppan wrote:<br>
&gt;&gt; Hi All,<br>
&gt;&gt;<br>
&gt;&gt; Extending on what Jim had mentioned in his earlier mail I have a<br>
&gt;&gt; proposal<br>
&gt;&gt; for ESAPI Java and .NET.<br>
&gt;&gt; To provide anti-HPP(HTTP Parameter Pollution) support to ESAPI.<br>
&gt;&gt; HTTP Parameter Pollution depends on multiple request parameters having<br>
&gt;&gt; the<br>
&gt;&gt; same name.<br>
&gt;&gt;<br>
&gt;&gt; Its effect varies based on the platform:<br>
&gt;&gt; 1) Java:<br>
&gt;&gt;     Override other parameters and subsequently application logic<br>
&gt;&gt;     Refer slides 20,21,23,24 on<br>
&gt;&gt; <a href="http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf" target="_blank">http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf</a><br>
&gt;&gt; 2) .NET:<br>
&gt;&gt;     Bypass Web Application firewalls<br>
&gt;&gt;     Refer <a href="http://lavakumar.com/modsecurity_hpp.txt" target="_blank">http://lavakumar.com/modsecurity_hpp.txt</a><br>
&gt;&gt;     <a href="http://lavakumar.com/Split_and_Join.pdf" target="_blank">http://lavakumar.com/Split_and_Join.pdf</a><br>
&gt;&gt;<br>
&gt;&gt; Multiple parameters of the same name is supported by the web platform to<br>
&gt;&gt; accept multi-select input lists.<br>
&gt;&gt; But this feature is always turned on and even when a particular<br>
&gt;&gt; parameter is<br>
&gt;&gt; not using a &#39;multi-select input list&#39; the web technology always treats<br>
&gt;&gt; it as<br>
&gt;&gt; one.<br>
&gt;&gt; This &#39;enabled by default&#39; approach open up possibilities for abuse like<br>
&gt;&gt; the<br>
&gt;&gt; ones listed above.<br>
&gt;<br>
&gt; While certainly we can and possibly even should handle this in ESAPI, I<br>
&gt; think the probably place to handle this is to push the problem back<br>
&gt; upstream.<br>
&gt; E.g., for Java, it should get pushed back to the Java Servlet container<br>
&gt; and API spec. Made them aware of it and require that they specify some<br>
&gt; correct and safe behavior rather than leaving to to those developing<br>
&gt; Java servlet containers and J2EE apps, etc. Anyone know if this is being<br>
&gt; done or have any contacts in that space?<br>
&gt;<br>
&gt; I would think a similar thing could be done in the .NET space.<br>
&gt;<br>
&gt; -kevin<br>
&gt;<br>
&gt; --<br>
&gt; Kevin W. Wall<br>
&gt; &quot;The most likely way for the world to be destroyed, most experts agree,<br>
&gt; is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>
&gt; We cause accidents.&quot;        -- Nathaniel Borenstein, co-creator of MIME<br>
</div></div>&gt; _______________________________________________<br>
&gt; OWASP-ESAPI mailing list<br>
&gt; <a href="mailto:OWASP-ESAPI@lists.owasp.org">OWASP-ESAPI@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-esapi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-esapi</a><br>
&gt;<br>
&gt;<br>
<br>
<br>
</blockquote></div><br>