<html dir="ltr" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml"><head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252"><style>@font-face {
        font-family: Calibri;
}
@font-face {
        font-family: Tahoma;
}
@page WordSection1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.EmailStyle17 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal-reply
}
.MsoChpDefault {
        FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: export-only
}
DIV.WordSection1 {
        page: WordSection1
}
</style>

<style title="owaParaStyle"><!--P {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px
}
--></style>
</head>
<body lang="EN-US" vlink="purple" link="blue" ocsi="x">
<div dir="ltr"><font face="Tahoma" color="#000000"><span class="sourceRowText" role="presentation">
<div dir="ltr" align="left"><span class="862534914-07102011"><font face="Arial" color="#0000ff" size="2">I personally avoid the &quot;X is more secure than Y&quot;, you can build (in)secure systems in ANY of these technologies, it is not really a language specific issue. What makes a difference for me is &quot;how easy to secure is an application build in X&quot;.</font></span></div>
<div dir="ltr" align="left"><span class="862534914-07102011"><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left"><font size="2"><span class="862534914-07102011"><font face="Arial" color="#0000ff">I my opinion as .NET and Java developer, and I also with experience of code reviews in various PHP applications.&nbsp;</font></span><span class="862534914-07102011"><font face="Arial" color="#0000ff">PHP is harder to secure than Java, and Java than .NET. That is, i</font></span><span class="862534914-07102011"><font face="Arial" color="#0000ff">t takes more time to create a secure application on PHP than in Java, and more time in Java than in .NET. Thus, </font></span><span class="862534914-07102011"><font face="Arial" color="#0000ff">It is easier to make security mistakes in PHP (due to its extreme flexibility), than in Java, than in .NET.</font></span></font></div>
<div dir="ltr" align="left"><span class="862534914-07102011"><font face="Arial" color="#0000ff" size="2"></font></span>&nbsp;</div>
<div dir="ltr" align="left"><font size="2"><font face="Arial"><font color="#0000ff"><span class="862534914-07102011">Yet,&nbsp;</span><span class="862534914-07102011">ALL</span><span class="862534914-07102011"> are prone to the around 30 vulnerabilites of OWASP Top 10 Risks (remember OWASP Top 10 is all about risks, right? :) ). </span></font></font><font face="Arial" color="#0000ff"><span class="862534914-07102011">All issues, including local file inclusion are present in 3 of them, it is just that (again) it is easier to get (in)secure in one more than in the other.&nbsp;</span></font></font></div>
<div><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div><font face="Arial" color="#0000ff" size="2"><span class="862534914-07102011">Not pretty sure If I understood correctly, but a .NET specific Top 10 doesn't sound right for me. I mean having maybe different risks and different rankings, add one of these for each technology available and then would be a mayhem. Case appart is Mobile top 10 that is a different platform, not language.</span></font></div>
<div><font face="Arial" color="#0000ff" size="2"><span class="862534914-07102011"></span></font>&nbsp;</div>
<div><font face="Arial" color="#0000ff" size="2"><span class="862534914-07102011">My vote is for language specific examples for each vulnerability for each OWASP Top 10 risk. I could be named something like &quot;OWASP Top 10 for .NET&quot; and include .NET speific examples but issues and raking will be the same.</span></font></div>
<div><font face="Arial" color="#0000ff" size="2"><span class="862534914-07102011"></span></font>&nbsp;</div>
<div><font face="Arial" color="#0000ff" size="2"><span class="862534914-07102011">There are will be some&nbsp;framework specific problems like MQL injection (Hibernate is only available for Java and .NET as far as I know) but the risk is still &quot;A1 Injection&quot;.</span></font></div>
<div><font face="Arial" color="#0000ff" size="2"></font>&nbsp;</div>
<div><span class="862534914-07102011"><font face="Arial" color="#0000ff" size="2">Regards,</font></span></div>
<div><span class="862534914-07102011"></span><b><span lang="en-us"><font face="Arial" color="#000080" size="2">Juan C Calderon</font></span></b><span lang="en-us"></span><span lang="es-mx"><br></span></div></span></font></div>
<div dir="ltr"><font face="tahoma" color="#000000" size="2"><span class="sourceRowText" role="presentation"></span></font>&nbsp;</div>
<div id="divRpF902667" style="DIRECTION: ltr">
<hr tabindex="-1">
<font face="Tahoma" color="#000000" size="2"><b>De:</b> owasp-leaders-bounces@lists.owasp.org [owasp-leaders-bounces@lists.owasp.org] En nombre de Dave Wichers [dave.wichers@owasp.org]<br><b>Enviado el:</b> viernes, 07 de octubre de 2011 09:39 a.m.<br><b>Para:</b> 'Venkatesh Jagannathan'; 'Erwin Geirnaert'<br><b>CC:</b> owasp-leaders@lists.owasp.org<br><b>Asunto:</b> Re: [Owasp-leaders] OWASP Top 10 2012<br></font><br></div>
<div></div>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">I agree with Venkatesh here. I actually think .NET is MORE secure than Java in many respects. However, I think because Microsoft actually tried to build some security into .NET in certain areas, like automatic XSS defenses, they shot themselves in the foot to some degree because they provided .Net developers with a false sense of security in that area. Since their anti-XSS mechanism wasn’t actually bullet proof, it actually ended up causing .NET apps to have MORE XSS vulns than Java apps on average. However, the .NET developers got this ‘benefit’ for free, i.e., they didn’t have to do anything to get to their level of XSS vulns, but the Java developers had to work really hard to actually get their XSS vuln count down because Java had no built in anti-XSS defenses. If you built the same App in both Java and .NET and the developers didn’t specifically try to stop XSS vulns, the .NET app would actually have far less XSS than the Java one.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">I’m not a PHP expert so I can’t comment there.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Rather than having a ‘different’ Top 10 for each language, I think it WOULD be really cool to have a document like, How to address the OWASP Top 10 in Java/.NET/PHP, etc. Then the docs would be aligned with each other, rather than out of sync/different order/etc., which would be very confusing. However, if I was a developer for language X, and there was a Top 10 for that language, that would be very helpful for me, and not confusing since it covers the same stuff as the ‘standard’ Top 10.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">What do you think about this variant on your idea?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">-Dave<o:p></o:p></span></p>
<p class="MsoNormal"><span style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><b><span style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'">From:</span></b><span style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'"> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Venkatesh Jagannathan<br><b>Sent:</b> Friday, October 07, 2011 10:29 AM<br><b>To:</b> Erwin Geirnaert<br><b>Cc:</b> owasp-leaders@lists.owasp.org<br><b>Subject:</b> Re: [Owasp-leaders] OWASP Top 10 2012<o:p></o:p></span></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<div>
<p class="MsoNormal">Hi Erwin,<o:p></o:p></p></div>
<div>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; I slightly disagree here. Whatever issue is present in .NET, the same can be replated very much in Java. When I give trainning on writing secure code, based on top 10, i provide samples on both .net &amp; java way.<o:p></o:p></p></div>
<div>
<p class="MsoNormal">To me, creating a seperate material for java/.net would at some point in time end up in too many &quot;issuelets&quot; that are language specific and dilute the concept of OWASP top 10.<o:p></o:p></p></div>
<div>
<p class="MsoNormal">&nbsp;<o:p></o:p></p></div>
<div>
<p class="MsoNormal">I think the way we should address this is: Provide examples in all languages would make more sense than creating one for each language :)<o:p></o:p></p></div>
<div>
<p class="MsoNormal">&nbsp;<o:p></o:p></p></div>
<div>
<p class="MsoNormal">Thanks &amp; Regards,<o:p></o:p></p></div>
<div>
<p class="MsoNormal" style="MARGIN-BOTTOM: 12pt">~Venki<o:p></o:p></p></div>
<div>
<p class="MsoNormal">On Fri, Oct 7, 2011 at 7:47 PM, Erwin Geirnaert &lt;<a href="mailto:erwin.geirnaert@zionsecurity.com" target="_blank">erwin.geirnaert@zionsecurity.com</a>&gt; wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'">Hi list,<o:p></o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'">During some discussions this week with Java developers while giving a security training I got the following remark: &quot;why are there so many <a href="http://asp.net/PHP" target="_blank">ASP.NET/PHP</a> issues in the OWASP Top 10, is Java more secure&quot;?<o:p></o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'">So what I propose is to create a specific OWASP Top 10 for different technologies: Microsoft, Java, PHP and we can still have one global Top 10.<o:p></o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'">Ofcourse based on the CVE database but it will be more clear for the developers and I think that the OWASP Top 10 for Java will be very different than OWASP Top 10 for PHP.<o:p></o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'">Best regards,<o:p></o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: black; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></span></p></div>
<div>
<p class="MsoNormal"><span style="FONT-SIZE: 10.5pt; COLOR: #888888; FONT-FAMILY: 'Calibri','sans-serif'">Erwin<o:p></o:p></span></p></div></div>
<p class="MsoNormal" style="MARGIN-BOTTOM: 12pt"><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p></div></div></body></html>