<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hi,<div>Not all libraries need to be complicated.</div><div>You can throw an error whenever insecure variables are used, and let the secure ones be directly used.</div><div>-Abbas<br><div><div>On ۸ خرداد ۱۳۹۲, at ۲۳:۲۳, Abhishek Das <<a href="mailto:das.abhshk@gmail.com">das.abhshk@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">Hi all,<div><br></div><div style="">I wanted to start working on the HTTP request handling library. </div><div style=""><br></div><div style="">Like Abbas suggested, I read about host alteration attacks and the need for such a library. I understand that http headers can easily be spoofed and relying on them for sensitive transactions is foolish.</div>
<div style=""><br></div><div style="">From what was written above:</div><div style=""><br></div><div style=""><span style="font-family:arial,sans-serif;font-size:13px">>This library provides wrappers which securely process these data and hand them to user, and replaces the $_SERVER values that are insecure with objects that throw exceptions when cast to string (e.g. in HTTP_HOST), >so that developers can no longer directly access them.</span><br>
</div><div style=""><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style=""><font face="arial, sans-serif">^I don't exactly understand that. It would be nice if someone could explain in detail what is finally the functionality expected of the library.</font></div>
<div style=""><font face="arial, sans-serif"><br></font></div><div style=""><font face="arial, sans-serif">Also, there was some information I wanted to confirm. $_SERVER['REMOTE_ADDR'] is supposed to be a reliable source of the IP address, and if someone is behind a proxy, the proxy may have set the </font>$_SERVER['HTTP_X_FORWARDED_FOR'] or $_SERVER['HTTP_CLIENT_IP'] headers. But again, these values can be easily spoofed. So the only reliable information is <span style="font-family:arial,sans-serif">$_SERVER['REMOTE_ADDR']. So should the library provide an abstraction layer for developers to easily use the </span><span style="font-family:arial,sans-serif">client IP address value  and write conditional code, or is there more to it or am I missing the point completely?</span></div>
<div style=""><span style="font-family:arial,sans-serif"><br></span></div><div style=""><span style="font-family:arial,sans-serif">Thanks</span></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 11:36 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Yes, I hope Sam can set the domain and server asap.<br><br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra">
<br><br><div class="gmail_quote">On Tue, May 28, 2013 at 1:50 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hi Johanna,<div>I believe it is a great start, as it has very little dependency on other libs. </div>

<div>We would need the TRAC (project management) system for scheduling things and keeping track of all the work. Lets keep it messy until we get it working.</div><div><br></div><div>I suggest the developer for HTTP Request Handling lib to read about HTTP Host Alteration attacks, to know why this library is important.</div>

<div>Thanks</div><div>-Abbas<br><div><div><div>On ۷ خرداد ۱۳۹۲, at ۲۲:۱۶, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:</div><br>
</div><blockquote type="cite"><div><div dir="ltr"><div><div>Hi All,<br><br></div>There are many other libraries still to work on. Abbas, what about defining new requirements? <br></div>Which could be next? what about<br>

<div><br><ol start="7"><li><p style="margin-bottom:0in"><span style="color:rgb(152,72,6)"><span style="font-size:medium"><strong>Secure PHP HTTP Request Handling Library</strong></span></span></p>
</li></ol><p style="margin-left:0.5in;margin-bottom:0in">HTTP Request is user 
input. Many developers forget this fact and tend to rely on it as a 
trustable source and configure many aspects of their applications based 
on values of $_SERVER (most of which are set using HTTP request). While 
not all values under $_SERVER are unreliable, some of the values such as
 ‘QUERY_STRING’, ‘HTTP_REFERRER’ etc are entirely arbitrary information 
sent by the client. This library provides wrappers which securely 
process these data and hand them to user, and replaces the $_SERVER 
values that are insecure with objects that throw exceptions when cast to
 string (e.g. in HTTP_HOST), so that developers can no longer directly 
access them.</p><p style="margin-left:1.5in;text-indent:0.5in;margin-bottom:0in"><img name="13eec5217d0d85a6_13eec44347f79511_Picture 18" alt="" src="https://dl.dropboxusercontent.com/u/105045248/gsoc13/o_35111ecac463cfe1_html_m70587ccc.png" align="BOTTOM" border="0" height="201" width="360"></p><p style="margin-left:1in;margin-bottom:0in">As can be seen that 
this code entirely depends on the HTTP_REFERRER value to do a sensitive 
transaction. A potential attacker can easily spoof this variable and can
 trick the server to perform sensitive transaction.</p><p style="margin-left:1in;margin-bottom:0in"><br></p><p style="margin-left:1in;margin-bottom:0in">regards</p><p style="margin-left:1in;margin-bottom:0in"><br></p><p style="margin-left:1in;margin-bottom:0in">


Johanna<br></p><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 1:08 PM, Chetan Wadhwa <span dir="ltr"><<a href="mailto:tochetanwadhwa@gmail.com" target="_blank">tochetanwadhwa@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks Johanna & Abbas,<div><br></div><div>I am very thankful to you. I'll pay my best efforts in the development.</div>


<div>And one thing i want to confirm about the proposed library for "PASSWORD MANAGEMENT", that how will we get the distribution of work among the three people (me,abhishek & Rahul) , and please give me idea about the timelines set for the differnt phases of project .</div>



<div><br></div></div><div class="gmail_extra"><div><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 9:55 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi Abbas<br><br></div><div>Chetan & Rahul,you guys are doing a great job and I'll be making a small gift for your efforst.<br>



</div>I'm buying their owasp membership for 1 year, for CURACAO chapter, you guys get the same rights as been for others, but I can reuse the funds for my own chapter ;-)<br>
<br></div>So I'll get one for Chetan.<br><br></div>regards<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">Johanna<br></font></span></div><div>
<div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 12:51 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>




<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Hello Chetan,</div><div>I have CC'd Johanna here. She is the mentor for PHP Security Project, and a dear friend of mine.</div>




<div>For you to have an OWASP email address, you need to be an OWASP member and general membership costs $50 a year.</div><div>Now if you can afford it, its fine. Otherwise Johanna can help you secure funds or obtain it via other means. You usually need to contribute first, then get an honorary email address.</div>




<div>Check your local chapter's page as well, they might have discounted memberships (Iran chapters memberships cost $20 a year).</div><div>Thanks</div><div>-Abbas<br><div><div>On ۷ خرداد ۱۳۹۲, at ۲۱:۰۹, Chetan Wadhwa <<a href="mailto:tochetanwadhwa@gmail.com" target="_blank">tochetanwadhwa@gmail.com</a>> wrote:</div>




<br><blockquote type="cite"><div dir="ltr">thanks abbas, i'll definitely start coding<div><br></div><div>and one thing i want to ask you that isn't any official mail (or joining letter type) that i will get from OWASP ??</div>




<div>
<br></div><div>I have to show it in my university to get extra time to work in the LABS of university  !!</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 9:28 AM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>





<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word">You can start developing code! If you had any questions, ask in the mailing list. I get your calls.<div>





<span><font color="#888888">-Abbas</font></span><div><br><div><div>On ۷ خرداد ۱۳۹۲, at ۱۳:۳۱, Chetan Wadhwa <<a href="mailto:tochetanwadhwa@gmail.com" target="_blank">tochetanwadhwa@gmail.com</a>> wrote:</div>



<br><blockquote type="cite"><div dir="ltr">yeahhh Abbas , i have done that , how to proceed further plzz suggest ....</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, May 27, 2013 at 11:59 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>






<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hi again Chetan,<div>Please join the mailing list at </div><div><div><br></div><div>





Mailing List page here: <a href="https://lists.owasp.org/mailman/listinfo/owasp_php_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_php_security_project</a></div>
</div><div><br></div><div>And also browse the GitHub respotiroy at:</div><div><br></div><div><a href="https://github.com/owasp/phpsec" target="_blank">https://github.com/owasp/phpsec</a></div><div><br></div><div>After you joined the mailing list, send an email there introducing yourself and we'll keep it going from there.</div>






<div>Thanks a lot</div><span><font color="#888888">-Abbas</font></span><div><div><br></div><div><div><div>On ۷ خرداد ۱۳۹۲, at ۱۱:۱۸, Chetan Wadhwa <<a href="mailto:tochetanwadhwa@gmail.com" target="_blank">tochetanwadhwa@gmail.com</a>> wrote:</div>






<br><blockquote type="cite"><div dir="ltr">I want to work on PHP Security project, because i have a basic idea about this project and i know wht to do  in this project ???</div><div class="gmail_extra"><br><br><div class="gmail_quote">






On Mon, May 27, 2013 at 11:15 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Chetan!<br>
Super to hear that! Do you want to work on PHP Security Project, or the WebGoatPHP?<br>
Please let me know so that I can set you up!<br>
Thanks<br>
<span><font color="#888888">-Abbas<br>
</font></span><div>On ۷ خرداد ۱۳۹۲, at ۰:۴۷, Chetan Wadhwa <<a href="mailto:tochetanwadhwa@gmail.com" target="_blank">tochetanwadhwa@gmail.com</a>> wrote:<br>
<br>
> Abbas i have got the GSOC email of not being selected, but i still want to work for this project !!!<br>
> tell me something about this , that what should i proceed for ???<br>
<br>
</div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><b>Chetan Wadhwa</b><br></div>
</div>
</blockquote></div><br></div></div></div></blockquote></div><br><br clear="all"><span><font color="#888888"><div><br></div>-- <br><div dir="ltr"><b>Chetan Wadhwa</b><br></div>
</font></span></div><span><font color="#888888">
</font></span></blockquote></div><span><font color="#888888"><br></font></span></div></div></div></blockquote></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br>
<div dir="ltr"><b>Chetan Wadhwa</b><br></div>
</font></span></div>
</blockquote></div><br></div></div></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div></div><span><font color="#888888">-- <br><div dir="ltr"><b>Chetan Wadhwa</b><br></div>
</font></span></div>
</blockquote></div><br></div></div>
_______________________________________________<br>OWASP_PHP_Security_Project mailing list<br><a href="mailto:OWASP_PHP_Security_Project@lists.owasp.org" target="_blank">OWASP_PHP_Security_Project@lists.owasp.org</a><br>

<a href="https://lists.owasp.org/mailman/listinfo/owasp_php_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_php_security_project</a><br></blockquote></div><br></div></div></blockquote></div>

<br></div>
</div></div><br>_______________________________________________<br>
OWASP_PHP_Security_Project mailing list<br>
<a href="mailto:OWASP_PHP_Security_Project@lists.owasp.org">OWASP_PHP_Security_Project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_php_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_php_security_project</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><font face="'trebuchet ms', sans-serif"><b>Abh</b></font><font face="'trebuchet ms', sans-serif"><b>ishek Das</b><br><font color="#666666">B. Tech. (2nd year) </font></font><div>
<font face="'trebuchet ms', sans-serif"><font color="#666666">Electrical Engineering<br>IIT Roorkee</font></font></div>
</div>
_______________________________________________<br>OWASP_PHP_Security_Project mailing list<br><a href="mailto:OWASP_PHP_Security_Project@lists.owasp.org">OWASP_PHP_Security_Project@lists.owasp.org</a><br>https://lists.owasp.org/mailman/listinfo/owasp_php_security_project<br></blockquote></div><br></div></body></html>