<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML dir=ltr><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<STYLE>.hmmessage P {
        PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-TOP: 0px
}
BODY.hmmessage {
        FONT-SIZE: 10pt; FONT-FAMILY: Verdana
}
</STYLE>

<META content="MSHTML 6.00.6000.16809" name=GENERATOR></HEAD>
<BODY class=hmmessage>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff><SPAN 
class=246105119-15042009>Is anyone working on the equivalent for 
Spring?</SPAN></FONT></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Arshan 
Dabirsiaghi<BR><B>Sent:</B> Tuesday, April 14, 2009 3:09 PM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Subject:</B> Struts2 security gap 
analysis<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV id=idOWAReplyText51181 dir=ltr><FONT face=Arial>All,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial>Over the last month or so, the Intrinsic Security 
Working Group (ISWG) has been performing&nbsp;a gap analysis of the Struts2. The 
purpose of the work was not to find vulnerabilities in Struts2, but rather to 
find out how easy or possible it is to write a secure application within the 
framework.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial>Here is the draft which has been barely proofread. 
We're looking for comments, flames, etc.:</FONT></DIV>
<DIV dir=ltr><FONT face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr><A 
href="http://i8jesus.com/stuff/A%20Gap%20Analysis%20of%20Application%20Security%20in%20Struts2%20-%20DRAFT.doc"><FONT 
face=Arial>http://i8jesus.com/stuff/A%20Gap%20Analysis%20of%20Application%20Security%20in%20Struts2%20-%20DRAFT.doc</FONT></A></DIV>
<DIV dir=ltr><FONT face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial>We're hoping to publish with feedback by the end 
of the week.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial>Thanks,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial>Arshan</FONT></DIV><pre>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</pre></BODY></HTML>