<html><body>
<p><tt>"Arshan Dabirsiaghi" <arshan.dabirsiaghi@aspectsecurity.com> wrote on 05/29/2008 08:47:02 AM:<br>
> > The HTTP specification, RFC 2616 [1], specifies that HEAD requests<br>
> should produce the same results as </tt><br>
<tt>> > a GET request but with no response body.</tt><br>
<tt>>  </tt><br>
<tt>> It's not that we expect anything else from HEAD, indeed it's doing <br>
> exactly as the spec says - we're just alerting most people to its <br>
> usefulness to attackers to access non-idempotent GETs behind URL <br>
> authorization schemes. That is the fact that, which you may still <br>
> not believe, is not well known. Of course that's just half the <br>
> story, the other half is the vendor craziness when dealing with <br>
> arbitrary HTTP verbs.</tt><br>
<tt><br>
Now, I don't normally pipe up in these kinds of discussions, but I'm afraid I'm going to have to agree with Martin on this.</tt><br>
<br>
<tt>Your paper is a good summary of the problem, but lets not get caught up on any novelty of this vector.</tt><br>
<br>
<tt>Any of the pentesters I've worked with in the past decade will tell you how they use these techniques to bypass restricting authentication/authorization filtering. For example, the 3-day "Ethical Hacking" training course given by ISS from 2001-2005 covered these techniques, and I believe that the NGS Software "Web Application (In)security" course's at Blackhat have covered/discussed it as well.</tt><br>
<br>
<tt>You'll also find a few bruteforce attack tools that will flip to HEAD etc. for launching attacks - but this is a little more to do with speed improvements and bandwidth constraints - but, at the end of the day, I can't agree with the assertion that this is not well known.</tt><br>
<br>
<tt>I don't have a copy handy, but you may also want to check out Dafydd Stuttard's and Marcus Pinto's book "The Web Application Hackers Handbook" </tt><tt><a href="http://www.amazon.com/Web-Application-Hackers-Handbook-Discovering/dp/0470170778/ref=sr_1_1?ie=UTF8&s=books&qid=1212074361&sr=8-1">http://www.amazon.com/Web-Application-Hackers-Handbook-Discovering/dp/0470170778/ref=sr_1_1?ie=UTF8&s=books&qid=1212074361&sr=8-1</a></tt><br>
<br>
<tt>Cheers,</tt><br>
<br>
<tt>Gunter</tt><br>
<br>
</body></html>