<HTML><HEAD></HEAD>
<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: 12pt">
<DIV>Typo indeed...sorry!</DIV>
<DIV> </DIV>
<DIV>Another thought, one way that I always illustrate a best practice is to 
show the attack first. Should we perhaps have a section of attack demonstrations 
and then show how each defense works as a layer to protect against it?</DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=kevin.w.wall@gmail.com 
href="mailto:kevin.w.wall@gmail.com">Kevin W. Wall</A> </DIV>
<DIV><B>Sent:</B> Thursday, May 17, 2012 11:25 AM</DIV>
<DIV><B>To:</B> <A title=jim.manico@owasp.org 
href="mailto:jim.manico@owasp.org">Jim Manico</A> </DIV>
<DIV><B>Cc:</B> <A title=owasp-guide@lists.owasp.org 
href="mailto:owasp-guide@lists.owasp.org">owasp-guide@lists.owasp.org</A> ; <A 
title=abraham.kang@owasp.org href="mailto:abraham.kang@owasp.org">Abraham 
Kang</A> </DIV>
<DIV><B>Subject:</B> Re: [Owasp-guide] Volunteering for Output Encoding 
Chapter</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV 
style="FONT-STYLE: normal; DISPLAY: inline; FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: small; FONT-WEIGHT: normal; TEXT-DECORATION: none">Perhaps 
the approach should be to first describe all the common defensive 
techniques;<BR>e.g., input validation, canonicalization, output encoding, 
sandboxing, cryptography, etc.<BR>followed by some specific sections to address 
common vulnerabilities such as XSS.<BR>That means that the XSS section (say) 
could be a lot shorter because the background<BR>of all the defensive techniques 
would have already been described and all you would<BR>need to do would be to 
show how to make all the relevant defenses play together<BR>correctly to address 
the problem at hand.<BR><BR>-kevin<BR><BR>
<DIV class=gmail_quote>On Thu, May 17, 2012 at 11:00 AM, Jim Manico <SPAN 
dir=ltr><<A href="mailto:jim.manico@owasp.org" 
target=_blank>jim.manico@owasp.org</A>></SPAN> wrote:<BR>
<BLOCKQUOTE 
style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
class=gmail_quote>
  <DIV bgcolor="#FFFFFF">
  <DIV>I'd personally like to see both an Output Encoding section AND a XSS 
  defense section.</DIV>
  <DIV> </DIV>
  <DIV>XSS defense involves:</DIV>
  <DIV> </DIV>
  <DIV>Output Encoding, Input validation, safe json parsing, sandboxing, DOM XSS 
  api avoidance, HTML policy based validation, etc. XSS defense is way WAY more 
  than just OE.</DIV>
  <DIV> </DIV>
  <DIV>Aloha,</DIV>
  <DIV class=im>
  <DIV>
  <DIV> </DIV>
  <DIV>--</DIV>
  <DIV>Jim Manico</DIV>
  <DIV>VP, Security Architecture</DIV>
  <DIV>WhiteHat Security</DIV>
  <DIV>(808) 652-3805</DIV></DIV>
  <DIV><BR>On May 16, 2012, at 9:02 PM, Abraham Kang <<A 
  href="mailto:abraham.kang@owasp.org" 
  target=_blank>abraham.kang@owasp.org</A>> wrote:<BR><BR></DIV>
  <DIV></DIV></DIV>
  <DIV>
  <DIV class=h5>
  <BLOCKQUOTE type="cite">
    <DIV>
    <P>I think output encoding can apply to any executable context including 
    command line output, xml, shell script, sql.  If the chapter is to 
    focused on xss, I can modify it.</P>
    <P>--Abe </P>
    <DIV class=gmail_quote>On May 14, 2012 8:10 PM, "Jim Manico" <<A 
    href="mailto:jim.manico@owasp.org" 
    target=_blank>jim.manico@owasp.org</A>> wrote:<BR type="attribution">
    <BLOCKQUOTE 
    style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
    class=gmail_quote>
      <DIV bgcolor="#FFFFFF" text="#000000">Abe,<BR><BR>Can we rename the output 
      encoding section and call it "XSS Prevention" instead?<BR><BR>Complete XSS 
      prevention requires validation, HTML policy validation, proper JSON 
      parsing and a host of other techniques other than just output encoding. 
      <BR><BR>Fair? Interested?<BR><BR>Aloha,<BR>Jim<BR><BR><BR>
      <BLOCKQUOTE type="cite"><PRE>I want to volunteer to take the Output Encoding Chapter.  I added the
chapter a while ago but it has been sitting idle.

The content is pretty much done but may need minor reorganization.

Regards,
Abe

</PRE><BR>
        <FIELDSET></FIELDSET> <BR><PRE>_______________________________________________
Owasp-guide mailing list
<A href="mailto:Owasp-guide@lists.owasp.org" target=_blank>Owasp-guide@lists.owasp.org</A>
<A href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-guide</A>
</PRE></BLOCKQUOTE><BR><BR>
      <DIV>-- <BR>Jim Manico<BR><BR>Connections Committee Chair<BR>Cheatsheet 
      Series Product Manager<BR>OWASP Podcast Producer/Host<BR><BR><A 
      href="mailto:jim@owasp.org" target=_blank>jim@owasp.org</A><BR><A 
      href="http://www.owasp.org" 
    target=_blank>www.owasp.org</A></DIV></DIV></BLOCKQUOTE></DIV></DIV></BLOCKQUOTE></DIV></DIV></DIV><BR>_______________________________________________<BR>Owasp-guide 
  mailing list<BR><A 
  href="mailto:Owasp-guide@lists.owasp.org">Owasp-guide@lists.owasp.org</A><BR><A 
  href="https://lists.owasp.org/mailman/listinfo/owasp-guide" 
  target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-guide</A><BR><BR></BLOCKQUOTE></DIV><BR><BR 
clear=all><BR>-- <BR>Blog: <A href="http://off-the-wall-security.blogspot.com/" 
target=_blank>http://off-the-wall-security.blogspot.com/</A><BR>"The most likely 
way for the world to be destroyed, most experts agree,<BR>is by accident. That's 
where we come in; we're computer professionals.<BR>We *cause* 
accidents."        -- Nathaniel 
Borenstein<BR>
<P>
<HR>
_______________________________________________<BR>Owasp-guide mailing 
list<BR>Owasp-guide@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-guide<BR></DIV></DIV></DIV></BODY></HTML>