<HTML dir=ltr><HEAD>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16640" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Gunter,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>The list server is being a little slow, or you'd see me clariy that we're not claiming to invent verb tampering. I was personally taken aback when I actually looked at the RFC and tested the various vendors. I simply could not believe anyone else had not done this. These were the facts we were faced with when deciding what to do with the info:</FONT></DIV>
<UL dir=ltr>
<LI>
<DIV><FONT face=Arial size=2>Clearly this is not well known among application developers (no surprise there)</FONT></DIV></LI>
<LI>
<DIV><FONT face=Arial size=2>It did not appear to be well known when we sampled the security community luminaries (in fact, the response was overwhelmingly something to the effect of "oh, shit, that could be bad"</FONT></DIV></LI>
<LI>
<DIV><FONT face=Arial size=2>There was nothing <EM><U>we could find</U></EM> that pointed to other people doing this before</FONT></DIV></LI>
<LI>
<DIV><FONT face=Arial size=2>Verb tampering is something that we thought many pen testers (and some tools, like Sentinel) have done at some point, but not as part of any standard methodology or to specifically evade a particular mechanism</FONT></DIV></LI></UL>
<P><FONT face=Arial size=2>I'm actually a little relieved to see that NGS and IIS had played in this area before, even if they had not published</FONT><FONT face=Arial size=2> on it. Share-nothing attitudes, though, won't get us very far as a community (which I'm sensing may not actually exist).</FONT></P>
<P><FONT face=Arial size=2>Thanks,<BR></FONT><FONT face=Arial size=2>Arshan</FONT></P>
<DIV dir=ltr>
<HR tabIndex=-1>
</DIV>
<DIV dir=ltr><FONT face=Tahoma size=2><B>From:</B> Gunter Ollmann [mailto:gollmann@us.ibm.com]<BR><B>Sent:</B> Thu 5/29/2008 11:32 AM<BR><B>To:</B> Arshan Dabirsiaghi<BR><B>Cc:</B> Martin O'Neal; websecurity@webappsec.org<BR><B>Subject:</B> RE: [WEB SECURITY] Bypassing URL Authentication and Authorization with HTTP Verb Tampering<BR></FONT><BR></DIV>
<DIV>
<P><TT>"Arshan Dabirsiaghi" <arshan.dabirsiaghi@aspectsecurity.com> wrote on 05/29/2008 08:47:02 AM:<BR>> > The HTTP specification, RFC 2616 [1], specifies that HEAD requests<BR>> should produce the same results as </TT><BR><TT>> > a GET request but with no response body.</TT><BR><TT>>  </TT><BR><TT>> It's not that we expect anything else from HEAD, indeed it's doing <BR>> exactly as the spec says - we're just alerting most people to its <BR>> usefulness to attackers to access non-idempotent GETs behind URL <BR>> authorization schemes. That is the fact that, which you may still <BR>> not believe, is not well known. Of course that's just half the <BR>> story, the other half is the vendor craziness when dealing with <BR>> arbitrary HTTP verbs.</TT><BR><TT><BR>Now, I don't normally pipe up in these kinds of discussions, but I'm afraid I'm going to have to agree with Martin on this.</TT><BR><BR><TT>Your paper is a good summary of the problem, but lets not get caught up on any novelty of this vector.</TT><BR><BR><TT>Any of the pentesters I've worked with in the past decade will tell you how they use these techniques to bypass restricting authentication/authorization filtering. For example, the 3-day "Ethical Hacking" training course given by ISS from 2001-2005 covered these techniques, and I believe that the NGS Software "Web Application (In)security" course's at Blackhat have covered/discussed it as well.</TT><BR><BR><TT>You'll also find a few bruteforce attack tools that will flip to HEAD etc. for launching attacks - but this is a little more to do with speed improvements and bandwidth constraints - but, at the end of the day, I can't agree with the assertion that this is not well known.</TT><BR><BR><TT>I don't have a copy handy, but you may also want to check out Dafydd Stuttard's and Marcus Pinto's book "The Web Application Hackers Handbook" </TT><TT><A href="http://www.amazon.com/Web-Application-Hackers-Handbook-Discovering/dp/0470170778/ref=sr_1_1?ie=UTF8&s=books&qid=1212074361&sr=8-1">http://www.amazon.com/Web-Application-Hackers-Handbook-Discovering/dp/0470170778/ref=sr_1_1?ie=UTF8&s=books&qid=1212074361&sr=8-1</A></TT><BR><BR><TT>Cheers,</TT><BR><BR><TT>Gunter</TT><BR><BR></P></DIV></BODY><!--[object_id=#aspectsecurity.com#]--></HTML>