<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
&gt; <font size="2"> it's impossible to verify the URLs in a useful way</font><br>
<br>
With all due respect, I do not agree with this conjecture. Remember, we
are talking defense in depth. Some use cases where URL verification
seems useful:<br>
<br>
1) Intranet applications where use driven URL's should be intranet
url's only (whitelist verification style)<br>
2) Running url's through known malware blacklists using the Google
malware url api <a class="moz-txt-link-freetext" href="http://code.google.com/apis/safebrowsing/">http://code.google.com/apis/safebrowsing/</a> (blacklist
style)<br>
3) Allowing URL's to only be a certain content type (no links to .exe
file, etc)<br>
<br>
And of course there are ways around these projections - this is just
one useful defense-in-depth layer of protection.<br>
<br>
I'm also not saying that AntiSamy needs to do any of this, but I think
AntiSamy should <b>at least provide the hook</b> so developers can
choose to do so if they like.<br>
<br>
- Jim<br>
<br>
<br>
<blockquote
 cite="mid:B9A412898630124ABE8350F4EBD32E8493C40D@mymail.aspectsecurity.com"
 type="cite">
  <meta http-equiv="Content-Type" content="text/html; ">
  <meta name="Generator"
 content="MS Exchange Server version 6.5.7652.24">
  <title>RE: [Owasp-antisamy] onsiteURL and offsiteURL accept urls
withparameters</title>
<!-- Converted from text/plain format -->
  <p><font size="2">I had a brain fart during this discussion - it's
impossible to verify the URLs in a useful way. We already decided this
this out when opting to only allow the "importing" of remote
stylesheets. The attacker can obviously control the remote data, so
it's simple for them to host innocent data during initial validation,
then replace it with  malware/goatse afterwards.<br>
  <br>
Cheers,<br>
Arshan<br>
  <br>
-----Original Message-----<br>
From: Jim Manico [<a moz-do-not-send="true" href="mailto:jim@manico.net">mailto:jim@manico.net</a>]<br>
Sent: Fri 6/13/2008 2:22 AM<br>
To: Arshan Dabirsiaghi; Carlos Aguayo; <a class="moz-txt-link-abbreviated" href="mailto:owasp-antisamy@lists.owasp.org">owasp-antisamy@lists.owasp.org</a><br>
Subject: RE: [Owasp-antisamy] onsiteURL and offsiteURL accept urls
withparameters<br>
  <br>
IMO, AntiSamy should not allow all arbitrary urls. There should at
least be hooks to verify urls through malware blacklists like Google's
malware blacklist API provides. I would suspect that Slashdot is doing
something like this already.<br>
  <br>
- Jim<br>
  <br>
  <br>
-----Original Message-----<br>
From: Arshan Dabirsiaghi <a class="moz-txt-link-rfc2396E" href="mailto:arshan.dabirsiaghi@aspectsecurity.com">&lt;arshan.dabirsiaghi@aspectsecurity.com&gt;</a><br>
Sent: Thursday, June 12, 2008 6:57 AM<br>
To: Carlos Aguayo <a class="moz-txt-link-rfc2396E" href="mailto:carlos.aguayo@gmail.com">&lt;carlos.aguayo@gmail.com&gt;</a>;
<a class="moz-txt-link-abbreviated" href="mailto:owasp-antisamy@lists.owasp.org">owasp-antisamy@lists.owasp.org</a><br>
Subject: Re: [Owasp-antisamy] onsiteURL and offsiteURL accept urls
withparameters<br>
  <br>
There are two reasons why we allow arbitrary HTTP URLs:<br>
It's the Slashdot policy file, so we do exactly what Slashdot does.<br>
That is the point of AntiSamy in general: to allow rich input.<br>
You can lock down a policy file as much as you want, but the more you
lock it down, the less useful it is to your users. If you prevent URL
parameters from being in a URL, users can't put up a link to a CNN
article, or their profile page on a social network, etc.<br>
Hope that helps.<br>
Cheers,<br>
Arshan<br>
  <br>
From: <a class="moz-txt-link-abbreviated" href="mailto:owasp-antisamy-bounces@lists.owasp.org">owasp-antisamy-bounces@lists.owasp.org</a> on behalf of Carlos Aguayo<br>
Sent: Thu 6/12/2008 11:35 AM<br>
To: <a class="moz-txt-link-abbreviated" href="mailto:owasp-antisamy@lists.owasp.org">owasp-antisamy@lists.owasp.org</a><br>
Subject: [Owasp-antisamy] onsiteURL and offsiteURL accept urls
withparameters<br>
  <br>
Hi,<br>
By default both onsiteURL and offsiteURL accept url with parameters,<br>
for example, the following link:<br>
  <br>
&lt;a href="<a moz-do-not-send="true"
 href="http://mysite.com?first=12345&amp;second=34567">http://mysite.com?first=12345&amp;second=34567</a>"&gt;click
here&lt;/a&gt;<br>
  <br>
would pass using AntiSamy slashdot policy. Ultimately using AntiSamy<br>
an attacked shouldn't be able to dynamically craft th<br>
  <br>
[The entire original message is not included]<br>
  <br>
  </font>
  </p>
<!--[object_id=#aspectsecurity.com#]--></blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 
Jim Manico, Senior Application Security Engineer
<a class="moz-txt-link-abbreviated" href="mailto:jim.manico@aspectsecurity.com">jim.manico@aspectsecurity.com</a> | <a class="moz-txt-link-abbreviated" href="mailto:jim@manico.net">jim@manico.net</a>
(301) 604-4882 (work)
(808) 652-3805 (cell)

Aspect Security™
Securing your applications at the source
<a class="moz-txt-link-freetext" href="http://www.aspectsecurity.com">http://www.aspectsecurity.com</a></pre>
</body>
</html>