<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7652.24">
<TITLE>RE: [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>I had a brain fart during this discussion - it's impossible to verify the URLs in a useful way. We already decided this this out when opting to only allow the &quot;importing&quot; of remote stylesheets. The attacker can obviously control the remote data, so it's simple for them to host innocent data during initial validation, then replace it with&nbsp; malware/goatse afterwards.<BR>
<BR>
Cheers,<BR>
Arshan<BR>
<BR>
-----Original Message-----<BR>
From: Jim Manico [<A HREF="mailto:jim@manico.net">mailto:jim@manico.net</A>]<BR>
Sent: Fri 6/13/2008 2:22 AM<BR>
To: Arshan Dabirsiaghi; Carlos Aguayo; owasp-antisamy@lists.owasp.org<BR>
Subject: RE: [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters<BR>
<BR>
IMO, AntiSamy should not allow all arbitrary urls. There should at least be hooks to verify urls through malware blacklists like Google's malware blacklist API provides. I would suspect that Slashdot is doing something like this already.<BR>
<BR>
- Jim<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: Arshan Dabirsiaghi &lt;arshan.dabirsiaghi@aspectsecurity.com&gt;<BR>
Sent: Thursday, June 12, 2008 6:57 AM<BR>
To: Carlos Aguayo &lt;carlos.aguayo@gmail.com&gt;; owasp-antisamy@lists.owasp.org<BR>
Subject: Re: [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters<BR>
<BR>
There are two reasons why we allow arbitrary HTTP URLs:<BR>
It's the Slashdot policy file, so we do exactly what Slashdot does.<BR>
That is the point of AntiSamy in general: to allow rich input.<BR>
You can lock down a policy file as much as you want, but the more you lock it down, the less useful it is to your users. If you prevent URL parameters from being in a URL, users can't put up a link to a CNN article, or their profile page on a social network, etc.<BR>
Hope that helps.<BR>
Cheers,<BR>
Arshan<BR>
<BR>
From: owasp-antisamy-bounces@lists.owasp.org on behalf of Carlos Aguayo<BR>
Sent: Thu 6/12/2008 11:35 AM<BR>
To: owasp-antisamy@lists.owasp.org<BR>
Subject: [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters<BR>
<BR>
Hi,<BR>
By default both onsiteURL and offsiteURL accept url with parameters,<BR>
for example, the following link:<BR>
<BR>
&lt;a href=&quot;<A HREF="http://mysite.com?first=12345&second=34567">http://mysite.com?first=12345&second=34567</A>&quot;&gt;click here&lt;/a&gt;<BR>
<BR>
would pass using AntiSamy slashdot policy. Ultimately using AntiSamy<BR>
an attacked shouldn't be able to dynamically craft th<BR>
<BR>
[The entire original message is not included]<BR>
<BR>
</FONT>
</P>

</BODY>
<!--[object_id=#aspectsecurity.com#]--></HTML>