<HTML dir=ltr><HEAD><TITLE>RE: [WEB SECURITY] Bypassing URL Authentication and Authorization with HTTP Verb Tampering</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16640" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText63954 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>I don't exactly know why, but you're trying to blur the difference between "alerting the world when most of them are doing it wrong" and "knowing what the RFC says", which is fairly unimportant.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>If this is a well known issue, please point me to the CWE ID or any other prior listing of this information? I'm not saying you didn't already have attack technique in your pocket, I'm saying that the world needed an alert.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>Incidentally, if there is no prior art out there, and someone releases something, and you say "I knew about that before you did!!! And seeing it out on the Interweb makes me soooOO madd!!", you are an idiot.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>Love,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Martin O'Neal [mailto:martin.oneal@corsaire.com]<BR><B>Sent:</B> Thu 5/29/2008 10:25 AM<BR><B>To:</B> Arshan Dabirsiaghi; websecurity@webappsec.org<BR><B>Subject:</B> RE: [WEB SECURITY] Bypassing URL Authentication and Authorization with HTTP Verb Tampering<BR></FONT><BR></DIV>
<DIV><BR>
<P><FONT size=2>Ok, so you've changed your mind then; the HEAD-redirect-to-GET isn't<BR>anything unique.<BR><BR>Which leaves you with making people aware of the problems with<BR>implicit-allow rules.  Which is old news.  Which is where we started<BR>out.<BR><BR>Martin...<BR><BR><BR>----------------------------------------------------------------------<BR>CONFIDENTIALITY:  This e-mail and any files transmitted with it are<BR>confidential and intended solely for the use of the recipient(s) only.<BR>Any review, retransmission, dissemination or other use of, or taking<BR>any action in reliance upon this information by persons or entities<BR>other than the intended recipient(s) is prohibited.  If you have<BR>received this e-mail in error please notify the sender immediately<BR>and destroy the material whether stored on a computer or otherwise.<BR>----------------------------------------------------------------------<BR>DISCLAIMER:  Any views or opinions presented within this e-mail are<BR>solely those of the author and do not necessarily represent those<BR>of Corsaire Limited, unless otherwise specifically stated.<BR>----------------------------------------------------------------------<BR>Corsaire Limited, registered in England No. 3338312. Registered<BR>office: Portland House, Park Street, Bagshot, Surrey GU19 5PG.<BR>Telephone: +44 (0)1483-746700<BR><BR></FONT></P></DIV></BODY><!--[object_id=#aspectsecurity.com#]--></HTML>