<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.5730.11" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>I imagine everyone on this list received the OWASP 
newsletter.&nbsp; If not, you'll find it below.&nbsp; One of the links points to 
a write-up of a possible solution to the Adobe Reader XSS issue we've been 
hearing about recently.&nbsp; OWASP has published a way to prevent the attack by 
forcing any requests to PDF files to go through a Java filter.&nbsp; The details 
are here:</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT><FONT face=Arial color=#0000ff 
size=2><SPAN class=875514915-16012007></SPAN></FONT><FONT face=Arial 
color=#0000ff size=2><SPAN class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007><A 
href="https://www.owasp.org/index.php/PDF_Attack_Filter_for_Java_EE">https://www.owasp.org/index.php/PDF_Attack_Filter_for_Java_EE</A></SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>Obviously, this only works if you're on a server 
running a Java application.&nbsp; I managed to find some code for .NET as 
well:</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007><A 
href="http://www.techplay.net/">http://www.techplay.net/</A></SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>But what if you're trying to prevent the attack on a 
server with only static content or applications written in something other than 
Java or .NET?&nbsp; There are other ways to reduce your risk.&nbsp; You can 
instruct the browser to download the file instead of opening it in the 
vulnerable Adobe plug-in by adding HTTP headers to the response (for PDF 
documents only):</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>Content-Type: application/octet<BR>Content-Disposition: 
Attachment</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>These headers both tell the browser that the file is a 
download and should not be opened in the plug-in.&nbsp; There is still a risk 
that the browser will ignore these headers and open the file in the Adobe 
plug-in anyway, but this should prevent the attack in all modern and/or 
mainstream browsers.&nbsp; I haven't tested some of the older ones, so let me 
know if you do.&nbsp; This approach isn't foolproof, but it's a quick way to 
drastically reduce the risk of the attack.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>Hope this helps,</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=875514915-16012007>Tom</SPAN></FONT></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-all-bounces@lists.owasp.org 
[mailto:owasp-all-bounces@lists.owasp.org] <B>On Behalf Of </B>Dinis 
Cruz<BR><B>Sent:</B> Tuesday, January 16, 2007 6:37 AM<BR><B>To:</B> 
owasp-all@lists.owasp.org<BR><B>Subject:</B> OWASP Newsletter #2 &#8211; January 8th 
2006 to January 15th 2006<BR></FONT><BR></DIV>
<DIV></DIV>
<P>Hello, here is another newsletter with tons of links and information about 
what is happening at OWASP (you can also read it online: <A 
href="https://www.owasp.org/index.php/OWASP_Newsletter_2">https://www.owasp.org/index.php/OWASP_Newsletter_2 
</A>). </P>
<P>If you want something to appear in the next version, fell free to add it to 
<A title="OWASP Newsletter 3" 
href="https://www.owasp.org/index.php/OWASP_Newsletter_3">OWASP Newsletter 3</A> 
</P>
<P>Dinis Cruz Chief OWASP Evangelist London, UK</P><BR>
<P><FONT size=4><SPAN style="FONT-WEIGHT: bold">OWASP Newsletter #2 &#8211; January 
8th 2006 to January 15th 2006</SPAN></FONT><BR></P>
<TABLE class=toc id=toc summary=Contents>
  <TBODY>
  <TR>
    <TD>
      <DIV id=toctitle>
      <H2><FONT size=4>Contents</FONT></H2><SPAN class=toctoggle></SPAN></DIV>
      <UL>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#OWASP_News"><SPAN 
        class=tocnumber>1</SPAN> <SPAN class=toctext>OWASP 
News</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Featured_Projects"><SPAN 
        class=tocnumber>2</SPAN> <SPAN class=toctext>Featured 
        Projects</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Featured_Story:_Two_free_Java_EE_filters_for_CSRF.2C_Reflected_XSS.2C_and_Adobe_XSS"><SPAN 
        class=tocnumber>3</SPAN> <SPAN class=toctext>Featured Story: Two free 
        Java EE filters for CSRF, Reflected XSS, and Adobe XSS 
</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Featured_Story:_.22Automated_Scanner_vs._The_OWASP_Top_Ten.22"><SPAN 
        class=tocnumber>4</SPAN> <SPAN class=toctext>Featured Story: "Automated 
        Scanner vs. The OWASP Top Ten"</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Latest_Blog_Entries_from_blogs.owasp.org"><SPAN 
        class=tocnumber>5</SPAN> <SPAN class=toctext>Latest Blog Entries from 
        blogs.owasp.org</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Latest_additions_to_the_WIKI"><SPAN 
        class=tocnumber>6</SPAN> <SPAN class=toctext>Latest additions to the 
        WIKI</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#OWASP_Community"><SPAN 
        class=tocnumber>7</SPAN> <SPAN class=toctext>OWASP 
        Community</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#Application_Security_News_.28from_Owasp.org.29"><SPAN 
        class=tocnumber>8</SPAN> <SPAN class=toctext>Application Security News 
        (from Owasp.org)</SPAN></A></FONT>
        <LI class=toclevel-1><FONT size=2><A 
        href="https://www.owasp.org/index.php/OWASP_Newsletter_2#OWASP_references_in_the_Media"><SPAN 
        class=tocnumber>9</SPAN> <SPAN class=toctext>OWASP references in the 
        Media</SPAN></A></FONT></LI></UL></TD></TR></TBODY></TABLE><A 
name=OWASP_News></A>
<H4><FONT size=4>OWASP News</FONT> </H4>
<UL>
  <LI><A title="ORG (OWASP Report Generator)" 
  href="https://www.owasp.org/index.php/ORG_%28OWASP_Report_Generator%29">ORG 
  (OWASP Report Generator)</A> - New release of <A class="external text" 
  title=http://sourceforge.net/project/downloading.php?group_id=64424&amp;use_mirror=osdn&amp;filename=ORG_v0.88.msi| 
  href="http://sourceforge.net/project/downloading.php?group_id=64424&amp;use_mirror=osdn&amp;filename=ORG_v0.88.msi%7C" 
  rel=nofollow>ORG Installer</A> (1/15/2007) 
  <LI><A class="external text" 
  title=http://www.owasp.org/index.php/OWASP_Autumn_of_Code_2006_-_Projects:_Live_CD 
  href="http://www.owasp.org/index.php/OWASP_Autumn_of_Code_2006_-_Projects:_Live_CD" 
  rel=nofollow>OWASP Live CD </A>Beta Release - Download it from <A 
  class="external text" title=http://www.packetfocus.com/hackos| 
  href="http://www.packetfocus.com/hackos%7C" 
  rel=nofollow>http://www.packetfocus.com/hackos</A> </LI></UL>
<P><BR></P><A name=Featured_Projects></A>
<H4><FONT size=4>Featured Projects</FONT> </H4>
<UL>
  <LI><A title="OWASP WebScarab NG Project" 
  href="https://www.owasp.org/index.php/OWASP_WebScarab_NG_Project">OWASP 
  WebScarab NG Project</A> - Rogan has been very busy on the new version of 
  WebScarab, which is not complete, but is already in a very usable state (I 
  already prefer it to the current version). Rogan needs your help in testing 
  this version and sending in your comments. Quote from <A 
  title="OWASP WebScarab NG Project" 
  href="https://www.owasp.org/index.php/OWASP_WebScarab_NG_Project">OWASP 
  WebScarab NG Project</A>: <I>WebScarab-NG is a complete rewrite of the old 
  WebScarab application, with a special focus on making the application more 
  user-friendly. To this end, WebScarab-NG makes use of the Spring Rich Client 
  Platform to provide the user interface features. By using the Spring Rich 
  Client Platform, WebScarab-NG automatically gains things like default buttons, 
  keyboard shortcuts, support for internationalisation, etc.</I> </LI></UL>
<UL>
  <LI><A title="Category:OWASP Testing Project" 
  href="https://www.owasp.org/index.php/Category:OWASP_Testing_Project">Category:OWASP 
  Testing Project</A> - As per my last email to you, we have started a review 
  process for new version of the OWASP Testing Guide v2 (which you can you can 
  read it on line <A class="external text" 
  title=http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents 
  href="http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents" 
  rel=nofollow>Testing Guide v2 wiki - 'Release Candidate 1' </A>or view it in 
  in <A class="external text" 
  title=http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_pdf.zip 
  href="http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_pdf.zip" 
  rel=nofollow>Adobe PDF format</A> or <A class="external text" 
  title=http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_doc.zip 
  href="http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_doc.zip" 
  rel=nofollow>Ms Doc format</A>). If you want to participate in this review see 
  the <A title="OWASP Testing Project v2.0 - Review Guidelines" 
  href="https://www.owasp.org/index.php/OWASP_Testing_Project_v2.0_-_Review_Guidelines">OWASP_Testing_Project_v2.0_-_Review_Guidelines 
  </A>page. </LI></UL>
<UL>
  <LI><A title="Category:OWASP CAL9000 Project" 
  href="https://www.owasp.org/index.php/Category:OWASP_CAL9000_Project">Category:OWASP 
  CAL9000 Project</A> - This project is a great resource to (amongst other 
  things) understand and exploit XSS. Quote: <I>CAL9000 is a collection of web 
  application security testing tools that complement the feature set of current 
  web proxies and automated scanners. CAL9000 gives you the flexibility and 
  functionality you need for more effective manual testing efforts. Works best 
  when used with Firefox or Internet Explorer.</I> </LI></UL><A 
name=Featured_Story:_Two_free_Java_EE_filters_for_CSRF.2C_Reflected_XSS.2C_and_Adobe_XSS></A>
<H4><BR></H4>
<H4><FONT size=4>Featured Story: Two free Java EE filters for CSRF, Reflected 
XSS, and Adobe XSS</FONT></H4>
<P>OWASP contributors from <B><A class="external text" 
title=http://www.aspectsecurity.com href="http://www.aspectsecurity.com/" 
rel=nofollow>Aspect Security</A></B> have developed two new Java EE filters to 
protect against common web attacks. Just add a few lines to your web.xml file 
and enjoy the protection. </P>
<DL>
  <DT><B><A title="CSRF Guard" 
  href="https://www.owasp.org/index.php/CSRF_Guard">CSRF and Reflected XSS 
  Filter for Java EE</A></B> 
  <DD>This filter adds a random token to forms and URLs that prevent an attacker 
  from executing both <A title=CSRF 
  href="https://www.owasp.org/index.php/CSRF">CSRF</A> and reflected <A 
  title=XSS href="https://www.owasp.org/index.php/XSS">XSS</A> attacks. </DD></DL>
<DL>
  <DT><B><A title="PDF Attack Filter for Java EE" 
  href="https://www.owasp.org/index.php/PDF_Attack_Filter_for_Java_EE">Adobe XSS 
  Filter for Java EE</A></B> 
  <DD>This filter protects against the recent XSS attacks on PDF files. By using 
  a redirect and an encrypted token, this filter ensures that dangerous attacks 
  are not passed into the Adobe reader plugin. </DD></DL><A 
name=Featured_Story:_.22Automated_Scanner_vs._The_OWASP_Top_Ten.22></A>
<H4><BR></H4>
<H4><FONT size=4>Featured Story: "Automated Scanner vs. The OWASP Top 
Ten"</FONT></H4>
<P>Apart from some shameless marketing plus and its <A class="external text" 
title=http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&amp;STORY=/www/story/01-09-2007/0004502553&amp;EDATE= 
href="http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&amp;STORY=/www/story/01-09-2007/0004502553&amp;EDATE=" 
rel=nofollow>real intention with this paper</A>, WhiteHat Security has published 
a good paper on the limitations of Web Application Security Scanners 
capabilities to detect the [OWASP_Top_Ten_Project OWASP Top 10] vulnerabilities 
(which btw, all vendors claim they do). I actually think that the examples are 
quite basic, but they are good enough for the argument presented. </P>
<P>You can download this paper from <A class="external autonumber" 
title=http://www.whitehatsec.com/home/assets/OWASPTop10ScannersF.pdf 
href="http://www.whitehatsec.com/home/assets/OWASPTop10ScannersF.pdf" 
rel=nofollow>[1]</A> </P>
<P>Quote: <I>"The OWASP Top Ten is a list of the most critical web 
application</I> security flaws &#8211; a list also often used as a minimum standard 
for web application vulnerability assessment (VA) and compliance. There is an 
ongoing industry dialog about the possibility of identifying the OWASP Top Ten 
in a purely automated fashion (scanning). People frequently ask what can and 
can't be found using either white box or black box scanners. This is important 
because a single missed vulnerability, or more accurately exploited 
vulnerability, can cause an organization significant financial harm. Proper 
expectations must be set when it comes to the various vulnerability assessment 
solutions." </P>
<P>Note: I haven't seen any Web App Scannor vendor responses, so if you spot it 
let me know. </P><A name=Latest_Blog_Entries_from_blogs.owasp.org></A>
<H4><BR></H4>
<H4><FONT size=4>Latest Blog Entries from <A 
href="http://blogs.owasp.org">blogs.owasp.org</A></FONT> </H4>
<UL>
  <LI>from <A class="external text" title=http://blogs.owasp.org/eoinkeary/ 
  href="http://blogs.owasp.org/eoinkeary/" rel=nofollow>Eoin Keary</A> blog 
  <UL>
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/11/owasp-testing-guide-v20/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/11/owasp-testing-guide-v20/" 
    rel=nofollow>OWASP Testing Guide v2.0 </A>, January 11th, 2007 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/03/owasp-code-review-guide/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/03/owasp-code-review-guide/" 
    rel=nofollow>OWASP Code review Guide </A>, January 3rd 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/03/innerhtml-and-eval-javascriptajax-attacks-101/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/03/innerhtml-and-eval-javascriptajax-attacks-101/" 
    rel=nofollow>innerHTML and eval - Javascript/Ajax attacks - 101</A>, January 
    3rd, 2007 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/02/what-next-for-app-sec-contd-gmail-exploit/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/02/what-next-for-app-sec-contd-gmail-exploit/" 
    rel=nofollow>What Next for App Sec (Contd) - Gmail exploit</A>, January 2nd, 
    2007 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/02/owasp-live-cd/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/02/owasp-live-cd/" 
    rel=nofollow>OWASP Live CD</A>, January 2nd, 2007 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/eoinkeary/2007/01/02/what-next-for-app-sec/ 
    href="http://blogs.owasp.org/eoinkeary/2007/01/02/what-next-for-app-sec/" 
    rel=nofollow>What next for app Sec </A>, January 2nd, 2007 </LI></UL>
  <LI>from <A class="external text" title=http://blogs.owasp.org/seba/ 
  href="http://blogs.owasp.org/seba/" rel=nofollow>Life of an OWASP Chapter 
  Leader</A> blog 
  <UL>
    <LI><A class="external text" 
    title=http://blogs.owasp.org/seba/2007/01/06/the-owasp-chapter-leader-handbook/ 
    href="http://blogs.owasp.org/seba/2007/01/06/the-owasp-chapter-leader-handbook/" 
    rel=nofollow>The OWASP Chapter Leader Handbook </A>, January 6th, 2007 by 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/seba/2006/12/15/php-insecurity/ 
    href="http://blogs.owasp.org/seba/2006/12/15/php-insecurity/" 
    rel=nofollow>PHP (in)security</A>, December 15th 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/seba/2006/12/15/poll-results-of-last-year/ 
    href="http://blogs.owasp.org/seba/2006/12/15/poll-results-of-last-year/" 
    rel=nofollow>Poll results of last year </A>, December 15th 
    <LI><A class="external text" 
    title=http://blogs.owasp.org/seba/2006/12/14/so-you-want-to-become-a-chapter-leader/ 
    href="http://blogs.owasp.org/seba/2006/12/14/so-you-want-to-become-a-chapter-leader/" 
    rel=nofollow>So you want to become a chapter leader?</A>, December 14th 
  </LI></UL>
  <LI>from <A class="external text" title=http://blogs.owasp.org/mike/ 
  href="http://blogs.owasp.org/mike/" rel=nofollow>On Security</A> blog 
  <UL>
    <LI><A class="external text" 
    title=http://blogs.owasp.org/mike/2007/01/09/good-development-leads-to-good-security/ 
    href="http://blogs.owasp.org/mike/2007/01/09/good-development-leads-to-good-security/" 
    rel=nofollow>Good Development Leads to Good Security</A>, January 9th, 2007 
    </LI></UL>
  <LI>from <A class="external text" title=http://blogs.owasp.org/webservices/ 
  href="http://blogs.owasp.org/webservices/" rel=nofollow>HTTP SOAP Pen 
  Testing</A> blog 
  <UL>
    <LI><A class="external text" 
    title=http://blogs.owasp.org/webservices/2006/12/13/hello-world/ 
    href="http://blogs.owasp.org/webservices/2006/12/13/hello-world/" 
    rel=nofollow>Pen Testing Web Services</A>, December 13th </LI></UL></LI></UL><A 
name=Latest_additions_to_the_WIKI></A>
<H4><BR></H4>
<H4><FONT size=4>Latest additions to the WIKI</FONT> </H4>
<P><B>New pages</B> </P>
<UL>
  <LI><A title="OWASP Testing Project v2.0 - Review Guidelines" 
  href="https://www.owasp.org/index.php/OWASP_Testing_Project_v2.0_-_Review_Guidelines">OWASP 
  Testing Project v2.0 - Review Guidelines</A> - Support page for the OWASP 
  Testing Project V2.0 Review effortw where you will find more details on how to 
  participate in this collaborative review process. 
  <LI><A title="Chapter Leader Handbook" 
  href="https://www.owasp.org/index.php/Chapter_Leader_Handbook">Chapter Leader 
  Handbook</A> - Handbook for new and experienced chapter leaders on leading an 
  active chapter community. 
  <LI><A title="OWASP WebScarab NG Project" 
  href="https://www.owasp.org/index.php/OWASP_WebScarab_NG_Project">OWASP 
  WebScarab NG Project</A> - Rogan details his work on the new version of 
  WebScarab 
  <LI><A title=Phoenix/Tools 
  href="https://www.owasp.org/index.php/Phoenix/Tools">Phoenix/Tools</A> - Good 
  list of Web App Sec tools 
  <LI>Eoin has been quite busy this week working on the new version of the<A 
  title="Category:OWASP Code Review Project" 
  href="https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project">Category: 
  OWASP Code Review Project </A>
  <UL>
    <LI><A title="Logging issues" 
    href="https://www.owasp.org/index.php/Logging_issues">Logging issues</A> 
    <LI><A title="Reviewing Code for Buffer Overruns and Overflows" 
    href="https://www.owasp.org/index.php/Reviewing_Code_for_Buffer_Overruns_and_Overflows">Reviewing 
    Code for Buffer Overruns and Overflows</A> 
    <LI><A title="Reviewing Code for OS Injection" 
    href="https://www.owasp.org/index.php/Reviewing_Code_for_OS_Injection">Reviewing 
    Code for OS Injection</A> 
    <LI><A title="Reviewing Code for Data Validation" 
    href="https://www.owasp.org/index.php/Reviewing_Code_for_Data_Validation">Reviewing 
    Code for Data Validation</A> 
    <LI><A title="Reviewing Code for Logging Issues" 
    href="https://www.owasp.org/index.php/Reviewing_Code_for_Logging_Issues">Reviewing 
    Code for Logging Issues</A> 
    <LI><A title="Reviewing The Secure Code Environment" 
    href="https://www.owasp.org/index.php/Reviewing_The_Secure_Code_Environment">Reviewing 
    The Secure Code Environment</A> 
    <LI><A title="Chapters Assigned" 
    href="https://www.owasp.org/index.php/Chapters_Assigned">Chapters 
    Assigned</A> 
    <LI>just starting <A title="SQL Injection Cookbook template" 
    href="https://www.owasp.org/index.php/SQL_Injection_Cookbook_template">SQL 
    Injection Cookbook template</A>, <A title="SQL Injection Cookbook - Oracle" 
    href="https://www.owasp.org/index.php/SQL_Injection_Cookbook_-_Oracle">SQL 
    Injection Cookbook - Oracle</A>, <A title=Preface 
    href="https://www.owasp.org/index.php/Preface">Preface</A> , <A 
    title="Reasons for using automated tools" 
    href="https://www.owasp.org/index.php/Reasons_for_using_automated_tools">Reasons 
    for using automated tools</A>,<A title="Education and cultural change" 
    href="https://www.owasp.org/index.php/Education_and_cultural_change">Education 
    and cultural change</A>, <A title="Tool Deployment Model" 
    href="https://www.owasp.org/index.php/Tool_Deployment_Model">Tool Deployment 
    Model</A> </LI></UL></LI></UL>
<P><B>Edited Pages</B> </P>
<UL>
  <LI><A title="OWASP AppSec Conference Sponsors" 
  href="https://www.owasp.org/index.php/OWASP_AppSec_Conference_Sponsors">OWASP_AppSec_Conference_Sponsors</A> 
  - for you if you want to sponsor one of the <A 
  title="Category:OWASP AppSec Conference" 
  href="https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference">next 
  OWASP conferences</A>. Quote from page: <I>"OWASP is accepting sponsorships 
  for the 2007 OWASP Conferences. Financial sponsorship for a conference will 
  help defray the non-profit OWASP Foundation's expenses to prepare for and hold 
  this conference."</I> 
  <LI>Chapter updates: <A title="New Zealand" 
  href="https://www.owasp.org/index.php/New_Zealand">New_Zealand</A> , <A 
  title=Denver href="https://www.owasp.org/index.php/Denver">Denver</A>, <A 
  title="Washington DC" 
  href="https://www.owasp.org/index.php/Washington_DC">Washington DC</A> 
  <LI><A title=Membership 
  href="https://www.owasp.org/index.php/Membership">Membership</A> 
  <LI><A title="Securing tomcat" 
  href="https://www.owasp.org/index.php/Securing_tomcat">Securing tomcat</A> 
  <LI><A title="Cross-Site Request Forgery" 
  href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery">Cross-Site 
  Request Forgery</A> 
  <LI><A title="Chapter Rules" 
  href="https://www.owasp.org/index.php/Chapter_Rules">Chapter Rules</A> 
  <LI><A title="OWASP Autumn of Code 2006 - Projects: Web Goat" 
  href="https://www.owasp.org/index.php/OWASP_Autumn_of_Code_2006_-_Projects:_Web_Goat">OWASP 
  Autumn of Code 2006 - Projects: Web Goat</A> </LI></UL><A 
name=OWASP_Community></A>
<H4><BR></H4>
<H4><FONT size=4>OWASP Community</FONT> </H4>
<UL>
  <LI><B>Feb 13 (18:00h) - <A title=Ireland 
  href="https://www.owasp.org/index.php/Ireland">Ireland chapter meeting</A></B> 
  </LI></UL>
<UL>
  <LI><B>Feb 6 (18:00h) - <A title=Melbourne 
  href="https://www.owasp.org/index.php/Melbourne">Melbourne chapter 
  meeting</A></B> </LI></UL>
<UL>
  <LI><B>Jan 31 (15:00h) - <A title=Mumbai 
  href="https://www.owasp.org/index.php/Mumbai">Mumbai chapter meeting</A></B> 
  </LI></UL>
<UL>
  <LI><B>Jan 30 (11:30h) - <A title=Austin 
  href="https://www.owasp.org/index.php/Austin">Austin chapter meeting</A></B> 
  </LI></UL>
<UL>
  <LI><B>Jan 25 (14:30h) - <A title=Italy 
  href="https://www.owasp.org/index.php/Italy#October_25th.2C_2007_-_Isaca_Rome">Italy@ISACA 
  Rome</A></B> </LI></UL>
<UL>
  <LI><B>Jan 23 (18:00h) - <A title=Belgium 
  href="https://www.owasp.org/index.php/Belgium">Belgium chapter meeting</A></B> 
  </LI></UL>
<UL>
  <LI><B>Jan 22 (18:00h) - <A title=Rochester 
  href="https://www.owasp.org/index.php/Rochester">Rochester chapter 
  meeting</A></B> </LI></UL>
<UL>
  <LI><B>Jan 17 (18:30h) - <A title=Denver 
  href="https://www.owasp.org/index.php/Denver">Denver chapter meeting</A></B> 
  </LI></UL>
<UL>
  <LI><B>Jan 16 (17:45h) - <A title=Edmonton 
  href="https://www.owasp.org/index.php/Edmonton">Edmonton chapter 
  meeting</A></B> </LI></UL>
<P><BR></P><A name=Application_Security_News_.28from_Owasp.org.29></A>
<H4><FONT size=4>Application Security News (from <A 
href="http://Owasp.org">Owasp.org</A>)</FONT> </H4>
<DL>
  <DT><B>Jan 10 - <A class="external text" 
  title=http://www2.csoonline.com/exclusives/column.html?CID=28072 
  href="http://www2.csoonline.com/exclusives/column.html?CID=28072" 
  rel=nofollow>Vulnerability Disclosure: The Good, the Bad and the Ugly </A></B>
  <DD><I>More than a decade into the practice of vulnerability disclosure, where 
  do we stand? Are we more secure? Or less?</I>, three good articles: <A 
  class="external text" 
  title=http://www2.csoonline.com/exclusives/column.html?CID=28071 
  href="http://www2.csoonline.com/exclusives/column.html?CID=28071" 
  rel=nofollow>Microsoft: Responsible Vulnerability Disclosure Protects 
  Users</A> , <A class="external text" 
  title=http://www2.csoonline.com/exclusives/column.html?CID=28073 
  href="http://www2.csoonline.com/exclusives/column.html?CID=28073" 
  rel=nofollow>Schneier: Full Disclosure of Security Vulnerabilities a 'Damned 
  Good Idea'</A>, <A class="external text" 
  title=http://www2.csoonline.com/exclusives/column.html?CID=28072 
  href="http://www2.csoonline.com/exclusives/column.html?CID=28072" 
  rel=nofollow>The Vulnerability Disclosure Game: Are We More Secure?</A> and <A 
  class="external text" title=http://www.csoonline.com/read/010107/fea_vuln.html 
  href="http://www.csoonline.com/read/010107/fea_vuln.html" rel=nofollow>The 
  Chilling Effect </A></DD></DL>
<P><BR></P><A name=OWASP_references_in_the_Media></A>
<H4><FONT size=4>OWASP references in the Media</FONT> </H4>
<UL>
  <LI><A class="external text" 
  title=http://www.net-security.org/article.php?id=970 
  href="http://www.net-security.org/article.php?id=970" rel=nofollow>Automated 
  Scanning vs. The OWASP Top Ten</A>, Help Net Security, Croatia - Jan 11, 2007 
  <LI><A class="external text" title=http://br.sys-con.com/read/264922.htm 
  href="http://br.sys-con.com/read/264922.htm" rel=nofollow>AJAX, Design, and 
  Mobile Devices</A>, SYS-CON Media, NJ - Jan 10, 2007 
  <LI><A class="external text" 
  title=http://scmagazine.com/us/news/article/623765/hot-not-web-application-vulnerabilities 
  href="http://scmagazine.com/us/news/article/623765/hot-not-web-application-vulnerabilities" 
  rel=nofollow>Hot or Not: Web application vulnerabilities</A>, SC Magazine, UK 
  - Dec 28, 2006 
  <LI><A class="external text" title=http://au.sys-con.com/read/322897.htm 
  href="http://au.sys-con.com/read/322897.htm" rel=nofollow>Sprajax Author &#8211; 
  AJAX Security Tool &#8211; To Speak at AJAXWorld 2007</A>, SYS-CON Media, NJ - Jan 
  13, 2007 
  <LI><A class="external text" 
  title=http://www.computerweekly.com/Articles/2007/01/11/221120/web-application-security-vulnerabilities-by-the-numbers.htm 
  href="http://www.computerweekly.com/Articles/2007/01/11/221120/web-application-security-vulnerabilities-by-the-numbers.htm" 
  rel=nofollow>Web application security vulnerabilities by the numbers</A>, 
  ComputerWeekly.com, UK - Jan 11, 2007 
  <LI>This one is actual an mistake from PSC Group LLC , since there is 
  currently no relationship with them an OWASP (note: I email them and they 
  corrected this on their website) <A class="external text" 
  title=http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&amp;newsId=20070109005299&amp;newsLang=en 
  href="http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&amp;newsId=20070109005299&amp;newsLang=en" 
  rel=nofollow>Fujitsu's GlobalSTORE Software Completes Visa's Payment ...</A>, 
  Business Wire (press release), CA - Jan 9, 2007 (there is a major typo in this 
  article (OWASP related), see if you can spot it&nbsp;:) ) 
  <LI><A class="external text" 
  title=http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&amp;STORY=/www/story/01-09-2007/0004502553&amp;EDATE= 
  href="http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&amp;STORY=/www/story/01-09-2007/0004502553&amp;EDATE=" 
  rel=nofollow>WhiteHat Security Announces Risk-Free Competitive Trade-Up 
  Program</A>, PR Newswire (press release), NY - Jan 9, 2007 
</LI></UL></BODY></HTML>