<html><body><div style="color:#000; background-color:#fff; font-family:arial, helvetica, sans-serif;font-size:10pt"><div><span>I see Classic ASP can be comparable to PHP in terms of security, there is nothing really built up, but you have to build it yourself or plug in a third party framework/Filter/ISAPI/COM/ActiveX, etc..</span></div><div><br><span></span></div><div><span>ASP.NET is very different to classic ASP. specially from framework 1.1 and above.<br></span></div><div><span></span><span><br></span></div><div><span>I think what is more confusing in Classic ASP is that you can mix multiple contexts, for example, in my own training I explain a page is interpreted in 4 stages:</span></div><div><br><span></span></div><div><span>1. First for </span>Server Side Inclusions, where code in "include" tags is added to main page on the fly (not interpreted yet)</div><div>2. Then Server side VBScript code is executed, generating a HTML file (Page is then
 served here)</div><div>3. HTML code is rendered in Browser<br></div><div>4. Javascript code is executed.on Browser<br></div><div><br></div><div>Once you know this you can avoid a lot of problems that might lead to data disclosure, logic issues and other problems.<br></div><div><br></div><div>Let me mention a few errors I have seen in the past. <br></div><div><br></div><div>- A piece of code like the following might look OK but will never work<br></div><div><code><br></code></div><div><!--  #include file="page<%= PageId %>.inc"--><br></div><div><br></div><div>- HTML comments here do not prevent execution of server side code (and thus disclose data)</div><div><!--</div><div><span class="tab">    </span><%= MySecret %><br></div><div>--><br></div><div><br></div><div>- Or mixing server vs client side contexts (option explicit set to off) you will always be an admin here<br></div><div><br></div><div><script
 language="JavaScript"></div><div>var role = 1;<br></div><div><span class="tab">    </span><%</div><div><span class="tab">    </span><span class="tab">    </span>if role = 0 then</div><div><span class="tab">    </span><span class="tab">    </span><span class="tab">    response.write "You are admin"<br></span></div><div><span class="tab">    </span><span class="tab">    </span>else</div><div><span class="tab">    </span><span class="tab">    </span><span class="tab">    </span><span class="tab">response.write "You are NOT admin"</span></div><div><span class="tab">    </span><span class="tab">    </span><span class="tab">end if<br></span></div><div><span class="tab">   
 </span>%></div><div></script><br></div><div><br></div><div>So not sure how all this is going to fit on the guide, but I think we can look for the right spot once it starts taking shape.<br></div><div><br></div><div>Regards,</div><div>Juan Carlos<br></div><div><br></div>  <div style="font-family: arial, helvetica, sans-serif; font-size: 10pt;"> <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font face="Arial" size="2"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Tim Kulp <timkulp@live.com><br> <b><span style="font-weight: bold;">To:</span></b> Juan C Calderon <johnccr@yahoo.com>; Andrew van der Stock <vanderaj@owasp.org>; owasp-guide@lists.owasp.org <br><b><span style="font-weight: bold;">Cc:</span></b> Dave Wichers <dave.wichers@owasp.org>; projects@owasp.org; Eoin Keary <eoin.keary@owasp.org> <br> <b><span style="font-weight:
 bold;">Sent:</span></b> Friday, May 11, 2012 11:45 AM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [Owasp-guide] Proposal and discussion of draft Developer Guide2013 ToC<br> </font> </div> <br>
<meta http-equiv="x-dns-prefetch-control" content="off"><div id="yiv1720761701">
<div dir="ltr">
<div dir="ltr">
<div style="FONT-FAMILY:'Calibri';COLOR:#000000;FONT-SIZE:12pt;">
<div>Juan, </div>
<div> </div>
<div>I think this would be a great addition.</div>
<div> </div>
<div>On the topic of classic ASP, should we discuss some of the security 
features that are different between ASP and <a target="_blank" href="http://ASP.NET">ASP.NET</a>? I ask that because I know 
many developers who really treat them the same and thus do not get a lot of the 
security features built in to ASP.NET like the membership provider.</div>
<div> </div>
<div>Thoughts? </div>
<div> </div>
<div>Tim</div>
<div style="FONT-STYLE:normal;DISPLAY:inline;FONT-FAMILY:'Calibri';COLOR:#000000;FONT-SIZE:small;FONT-WEIGHT:normal;TEXT-DECORATION:none;">
<div style="FONT:10pt tahoma;">
<div> </div>
<div style="BACKGROUND:#f5f5f5;">
<div style=""><b>From:</b> <a rel="nofollow" title="johnccr@yahoo.com" ymailto="mailto:johnccr@yahoo.com" target="_blank" href="mailto:johnccr@yahoo.com">Juan C Calderon</a> </div>
<div><b>Sent:</b> Friday, May 11, 2012 8:56 AM</div>
<div><b>To:</b> <a rel="nofollow" title="vanderaj@owasp.org" ymailto="mailto:vanderaj@owasp.org" target="_blank" href="mailto:vanderaj@owasp.org">Andrew van der Stock</a> ; <a rel="nofollow" title="owasp-guide@lists.owasp.org" ymailto="mailto:owasp-guide@lists.owasp.org" target="_blank" href="mailto:owasp-guide@lists.owasp.org">owasp-guide@lists.owasp.org</a> </div>
<div><b>Cc:</b> <a rel="nofollow" title="dave.wichers@owasp.org" ymailto="mailto:dave.wichers@owasp.org" target="_blank" href="mailto:dave.wichers@owasp.org">Dave Wichers</a> ; <a rel="nofollow" title="projects@owasp.org" ymailto="mailto:projects@owasp.org" target="_blank" href="mailto:projects@owasp.org">projects@owasp.org</a> 
; <a rel="nofollow" title="eoin.keary@owasp.org" ymailto="mailto:eoin.keary@owasp.org" target="_blank" href="mailto:eoin.keary@owasp.org">Eoin 
Keary</a> </div>
<div><b>Subject:</b> Re: [Owasp-guide] Proposal and discussion of draft 
Developer Guide2013 ToC</div></div></div>
<div> </div></div>
<div style="FONT-STYLE:normal;DISPLAY:inline;FONT-FAMILY:'Calibri';COLOR:#000000;FONT-SIZE:small;FONT-WEIGHT:normal;TEXT-DECORATION:none;">
<div style="BACKGROUND-COLOR:#fff;FONT-FAMILY:arial, helvetica, sans-serif;COLOR:#000;FONT-SIZE:10pt;">
<div><span>Wow very large and ambitious TOC. I am willing to start writing those 
Classic ASP samples. Also I can start organizing the translation to Spanish as 
soon as the guide starts taking shape.<br></span></div>
<div><br><span></span></div>
<div><span>Regards,</span></div>
<div><span>Juan Carlos<br></span></div>
<div> </div>
<div style="FONT-FAMILY:arial, helvetica, sans-serif;FONT-SIZE:10pt;">
<div style="FONT-FAMILY:times new roman, new york, times, serif;FONT-SIZE:12pt;">
<div dir="ltr"><font face="Arial" size="2">
<hr size="1">
<b><span style="FONT-WEIGHT:bold;">From:</span></b> Andrew van der Stock 
<vanderaj@owasp.org><br><b><span style="FONT-WEIGHT:bold;">To:</span></b> 
owasp-guide@lists.owasp.org <br><b><span style="FONT-WEIGHT:bold;">Cc:</span></b> Eoin Keary 
<eoin.keary@owasp.org>; projects@owasp.org; Dave Wichers 
<dave.wichers@owasp.org> <br><b><span style="FONT-WEIGHT:bold;">Sent:</span></b> Thursday, May 10, 2012 10:52 
PM<br><b><span style="FONT-WEIGHT:bold;">Subject:</span></b> [Owasp-guide] 
Proposal and discussion of draft Developer Guide 2013 ToC<br></font></div><br>
 
<div id="yiv1720761701">
<div>Hi folks, 
<div> </div>
<div><b>Please review</b></div>
<div> </div>
<div>Can you please look over this ToC</div>
<div> </div>
<div>http://code.google.com/p/owasp-development-guide/wiki/ProjectManagement_Assignments</div>
<div> </div>
<div>Let's start discussing what should be in and out of the Guide. I'm going 
deliberately for inclusiveness as if it's not in the Developer Guide, where will 
it be? However, I'm willing to be convinced if you have stronger arguments than 
mine. </div>
<div> </div>
<div>The numbering scheme is the (stalled) OWASP Common Numbering Scheme. It's 
time for that to be completed, so I've cc'd Dave Wichers, the project leader for 
that effort. I want to ensure that we are very strongly aligned with the ASVS 
<- Developer Guide <-> Testing Guide <-> Code Review Guide, 
because this time around we will not be discussing how to do code reviews and 
how to test except to point to those other texts. </div>
<div> </div>
<div><b>Claim your chapters</b></div>
<div> </div>
<div>I'd like for folks to start claiming chapters here (first post wins!) where 
a chapter is DG-MAJOR and not just a sub-section. For longer chapters (those 
likely to have more than six patterns), I want at least two and preferably four 
or five folks to work together. </div>
<div> </div>
<div><b>Title</b></div>
<div> </div>
<div>I'd like to nut out the tittle for the next release. Can you please 
indicate your preferred name for the next release:</div>
<div> </div>
<div>OWASP Developer Guide 2013 <-- mine</div>
<div>OWASP Developer Guide 4.0 <-- timeless</div>
<div>OWASP Developer Guide 3.0 </div>
<div> </div>
<div>That's my preferred order. The main reason for not using 3.0 is that we've 
had two shots at that version now, and I honestly think it's time to increment 
to 4.0. </div>
<div> </div>
<div>
<div>The 10th anniversary of the Guide is next month. I'm going to try and have 
a surprise for that. However, this project should not lose sight of the 2013 
goal. For that reason, I'd like for us to be ready to release at no later than 
OWASP AppSec US in Northern hemisphere fall 2013, but preferably by AppSec EU 
next year. </div></div>
<div> </div>
<div><b>Rebirth as a ready to use textbook, education piece</b></div>
<div> </div>
<div>In other news, I had a lovely dinner with the delightful Laura Bell, who 
got me thinking about how best to make use of the Guide. </div>
<div> </div>
<div>
<div>I'd like for the Developer Guide to be immediately useful as a K11-12 / 
first year University text book. This means I'd like to work with the OWASP 
Education project on simultaneously updating my two day deck into a 15 or 16 
week deck and exercises and labs that teachers and lecturers can use either 
directly with WebGoat or directly with the deck we provide. We really need to 
start educating the next generation behind us to prevent security being an 
forgotten art. Once that's done, it's easy enough to create a dense 2 or 3 day 
deck for trainers to deliver to organisations and businesses, with the Developer 
Guide as being the lecture text and the next version of ASVS as the two-three 
day text. </div></div>
<div> </div>
<div>Whilst we will be developing this in the Wiki and that's how I tend to use 
OWASP materials today, I am happy to create a final PDF and a iBook download for 
the OWASP website, and possibly work with a publisher to get the Developer Guide 
prepared for print publication. Personally, I think having a freely downloadable 
version on our website, and in iTunes U along with someone teaching the 
materials on screen (look for CS 193P for what I have in mind) will be the 
lowest barrier to entry. I'm not convinced that dead tree printing is the best 
today, but I have a Kindle and an iPad, so I'm biased.  </div>
<div> </div>
<div>Thoughts?</div>
<div> </div>
<div>thanks,</div>
<div>Andrew</div></div></div>

<br>_______________________________________________<br>Owasp-guide 
mailing list<br><a rel="nofollow" ymailto="mailto:Owasp-guide@lists.owasp.org" target="_blank" href="mailto:Owasp-guide@lists.owasp.org">Owasp-guide@lists.owasp.org</a><br><a rel="nofollow" target="_blank" href="https://lists.owasp.org/mailman/listinfo/owasp-guide">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br><br><br></div></div></div>
<div>
</div><hr>
_______________________________________________<br>Owasp-guide mailing 
list<br>Owasp-guide@lists.owasp.org<br>https://lists.owasp.org/mailman/listinfo/owasp-guide<br></div></div></div></div>
</div><meta http-equiv="x-dns-prefetch-control" content="on"><br><br> </div> </div>  </div></body></html>