<HTML dir=ltr><HEAD><TITLE>RE: [WEB SECURITY] Bypassing URL Authentication and Authorization with HTTP Verb Tampering</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16640" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText2286 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>The answer to your question is pretty self-evident in the email you replied to, so I guess I'll quote myself:</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr>
<DIV dir=ltr><FONT face=Arial size=2>> It's not that we expect anything else from HEAD, indeed it's doing exactly as the spec says - we're just alerting</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>> most people to its usefulness to attackers to access non-idempotent GETs behind URL authorization schemes.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>> That is the fact that, which you may still not believe, is not well known. Of course that's just half the story, the</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>> other half is the vendor craziness when dealing with arbitrary HTTP verbs.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>You're free to disagree with the "awareness" issue, but I think you'd be wrong. In my opinion, your characterization of it as being-in-line-with-the-RFC-so-it-can't-possibly-be-problematic is unreasonable and actually tangential to the point: many people rely on this, it's wrong, and we are having a hard time finding anyone prior that says the same thing.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Martin O'Neal [mailto:martin.oneal@corsaire.com]<BR><B>Sent:</B> Thu 5/29/2008 9:58 AM<BR><B>To:</B> Arshan Dabirsiaghi; websecurity@webappsec.org<BR><B>Subject:</B> RE: [WEB SECURITY] Bypassing URL Authentication and Authorization with HTTP Verb Tampering<BR></FONT><BR></DIV>
<DIV><BR>
<P><FONT size=2>> Not sure how you can question whether or not I know the RFC<BR><BR>I'm not questioning your familiarity with the RFC, I'm questioning your<BR>assertion that "The HEAD-redirect-to-GET and arbitrary verbs being<BR>forwarded to GET handler are the unique takeaways".<BR><BR>A web server working as per the RFC is a unique discovery worthy of a<BR>paper in what way?<BR><BR>Martin...<BR><BR><BR><BR>----------------------------------------------------------------------<BR>CONFIDENTIALITY:  This e-mail and any files transmitted with it are<BR>confidential and intended solely for the use of the recipient(s) only.<BR>Any review, retransmission, dissemination or other use of, or taking<BR>any action in reliance upon this information by persons or entities<BR>other than the intended recipient(s) is prohibited.  If you have<BR>received this e-mail in error please notify the sender immediately<BR>and destroy the material whether stored on a computer or otherwise.<BR>----------------------------------------------------------------------<BR>DISCLAIMER:  Any views or opinions presented within this e-mail are<BR>solely those of the author and do not necessarily represent those<BR>of Corsaire Limited, unless otherwise specifically stated.<BR>----------------------------------------------------------------------<BR>Corsaire Limited, registered in England No. 3338312. Registered<BR>office: Portland House, Park Street, Bagshot, Surrey GU19 5PG.<BR>Telephone: +44 (0)1483-746700<BR><BR></FONT></P></DIV></BODY><!--[object_id=#aspectsecurity.com#]--></HTML>