<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="&#1;" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body bgcolor=white lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>They responded with, &#8220;We are not going to turn off zone transfers
and will not for a single domain&#8221;.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";
color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:
"Tahoma","sans-serif";color:windowtext'> owasp-leaders-bounces@lists.owasp.org
[mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Ralph Durkee<br>
<b>Sent:</b> Friday, April 09, 2010 3:13 PM<br>
<b>To:</b> owasp-leaders@lists.owasp.org<br>
<b>Subject:</b> Re: [Owasp-leaders] Zone transfer<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal>I think the main risk comes not so much from the zone
transfers, but if they don't seem to understand the need to implement minimal
features and least privileged then what else is it they may not be
understanding or may not be doing.&nbsp; Did the ISP provide a reason why zone
transfers need to be wide open for the OWASP domain?&nbsp;&nbsp; <br>
<br>
<br>
<o:p></o:p></p>

<pre>-- Ralph<o:p></o:p></pre>

<p class=MsoNormal><br>
<br>
Laurence Casey wrote: <o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>I agree entirely on the reason for not allowing zone transfers.
BUT&#8230;&#8230; Allowing them in itself is not a &#8220;Security Risk&#8221;. It is how people use
DNS that becomes the risk. Just a blanket statement of not allowing them is no
justification for considering a site insecure. </span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Agree, not knowing of a compromise is irrelevant. Rephrase- What
compromise would have occurred? Nothing sensitive has ever been in our DNS. And
as long as I am in control of the DNS records, nothing will ever be. I can
guarantee that.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>All that and, if it were my DNS servers, I would not allow it
just so people can&#8217;t tell me this same information. I&#8217;m still not seeing the
vulnerability here, but I would be happy to take up Ralph&#8217;s offer for a DNS
server that does not allow zone transfers.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>--Larry</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;
border-color:-moz-use-text-color -moz-use-text-color'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a
href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a>
[<a href="mailto:owasp-leaders-bounces@lists.owasp.org">mailto:owasp-leaders-bounces@lists.owasp.org</a>]
<b>On Behalf Of </b>Peter Perfetti<br>
<b>Sent:</b> Friday, April 09, 2010 12:59 PM<br>
<b>To:</b> <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-leaders] Zone transfer</span><o:p></o:p></p>

</div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'>My $.02:<br>
<br>
Zone transfers are restricted to prevent unauthorized disclosure of internal
machines and network enumeration. <br>
<br>
The fact that no one knows of a past compromise is irrelevant. It is a potential
point of exploitation. Just because you don't know about a past breach doesn't
mean it hasn't occurred.<br>
<br>
Perhaps there is nothing sensitive in there now, but can anyone guarantee that
no sensitive information will ever be present?<br>
<br>
If a service provider &quot;feels&quot; then perhaps they're not
&quot;thinking&quot;. Restricting zone transfers is considered &quot;best
practice&quot; for a reason. I usually include DNS in risk assessments and pen
tests, and try to exploit them and whatever information I find whenever
possible.<br>
<br>
There is also the reputational aspect that a security-centric organization does
not follow network and system best security practice when we preach our own
standards.<br>
<br>
I'd be happy to weigh in more on service provider criteria and oversight if
anyone wishes.<br>
<br>
-<br>
Pete<br>
<br>
<br clear=all>
-<br>
Peter Perfetti<br>
Chapter Leader<br>
NY/NJ Metro Chapter<br>
OWASP<br>
<a href="mailto:peter.perfetti@owasp.org">peter.perfetti@owasp.org</a><br>
-<br>
<br>
<br>
<o:p></o:p></p>

<div>

<p class=MsoNormal>On Fri, Apr 9, 2010 at 9:18 AM, Laurence Casey &lt;<a
href="mailto:larry.casey@owasp.org">larry.casey@owasp.org</a>&gt; wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>Ralph,</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>I have tried
working with my current DNS provider on this issue without success. They feel
this is not a security risk. The risk is when people use DNS for security
reasons. As you can see yourself if you do a zone transfer that nothing is
private or used for security. You also mention zone transfers without
authentication? Who should be granted this authenticated access? If I had
security related information in our records, I would certainly questions
everything about OWASP&#8217;s infrastructure. I use a third party DNS provider who
happens to also be a major hosting company and has nothing to do with our
servers. Also note, that I have been using this same DNS provider for 10+
years. In those 10+ years, how many times has OWASP been attacked using this
zone transfer? What exploits have been the result? </span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>If somebody on
the forum would like to offer a DNS server that does not allow zone transfers,
I will be more than happy to transfer all the OWASP domain names to them.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>--Larry</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;color:#1F497D'>&nbsp;</span><o:p></o:p></p>

<div>

<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;
border-color:-moz-use-text-color'>

<p class=MsoNormal><b><span style='font-size:10.0pt'>From:</span></b><span
style='font-size:10.0pt'> <a href="mailto:owasp-leaders-bounces@lists.owasp.org"
target="_blank">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a
href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.owasp.org</a>]
<b>On Behalf Of </b>Ralph Durkee<br>
<b>Sent:</b> Thursday, April 08, 2010 9:03 AM<br>
<b>To:</b> <a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><br>
<b>Subject:</b> Re: [Owasp-leaders] Zone transfer</span><o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal style='margin-bottom:12.0pt'>It doesn't make sense for OWASP
to use a DNS server that allows zone transfers without authentication. This is
one of the basics in terms of DNS security.<br>
It's not the kind of open that should be OWASP.&nbsp;&nbsp; If the name servers
fail in this are there other issues?&nbsp; We shouldn't we ask about the security
and then get permission for a test? Most of what we do depends on DNS being
trusted.&nbsp; <o:p></o:p></p>

<pre>-- Ralph Durkee, CISSP, GSEC, GCIH, GSNA, GPEN<o:p></o:p></pre><pre>Rochester OWASP<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre>

<p class=MsoNormal><br>
<br>
Rory McCune wrote: <o:p></o:p></p>

<pre>On Thu, Apr 8, 2010 at 9:49 AM, OWASP Geneva Chapter<o:p></o:p></pre><pre><a
href="mailto:antonio.fontes@owasp.org" target="_blank">&lt;antonio.fontes@owasp.org&gt;</a> wrote:<o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre>

<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>On 8 April 2010 09:00, Erlend Oftedal <a
href="mailto:Erlend.Oftedal@bekk.no" target="_blank">&lt;Erlend.Oftedal@bekk.no&gt;</a> wrote:<o:p></o:p></pre><pre>&nbsp;&nbsp;&nbsp; <o:p></o:p></pre>

<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hi<o:p></o:p></pre><pre>I see this message popping up from time to time on twitter, that <a
href="http://owasp.org" target="_blank">owasp.org</a><o:p></o:p></pre><pre>is vulnerable to zone transfer.<o:p></o:p></pre><pre>I guess that&#8217;s something we want to fix.<o:p></o:p></pre><pre>&#8220;RT @maxisoler: +1 WTF?! RT: @Jabra: Wtf <a
href="http://owasp.org" target="_blank">owasp.org</a> is still vulnerable to<o:p></o:p></pre><pre>zone transfer!&#8221;<o:p></o:p></pre><pre>Erlend<o:p></o:p></pre><pre>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <o:p></o:p></pre></blockquote>

<pre>Hi Leaders,<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>The initial security requirement dictates that zone content disclosure<o:p></o:p></pre><pre>should be restricted in order to reduce the risk of hidden/internal<o:p></o:p></pre><pre>hosts disclosure (which we could even argue it's a &quot;security by<o:p></o:p></pre><pre>obfuscation&quot; practice).<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>Keeping it open might also mean we did our work correctly, applied<o:p></o:p></pre><pre>basic risk assessment, and stick to our &quot;openness&quot; principle.<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>(okay okay, devil's advocate now heading towards the exit door)<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>Antonio<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>&nbsp;&nbsp;&nbsp; <o:p></o:p></pre></blockquote>

<pre>I'd agree in that there shouldn't be &quot;private&quot; information available<o:p></o:p></pre><pre>in public DNS as there are other ways (eg, DNS brute-force) to get<o:p></o:p></pre><pre>access to that kind of information.<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>That said, from a PR perspective, it may not look good for us to have<o:p></o:p></pre><pre>something present in our security posture which is generally<o:p></o:p></pre><pre>considered a &quot;bad thing&quot;, so probably worth changing...<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>my 0.02 of local currency.<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>cheers<o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>Rory<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>OWASP-Leaders mailing list<o:p></o:p></pre><pre><a
href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></pre><pre><a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></pre><pre>&nbsp;<o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre></div>

</div>

</div>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p>

</div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<pre><o:p>&nbsp;</o:p></pre><pre style='text-align:center'>

<hr size=4 width="90%" align=center>

</pre><pre><o:p>&nbsp;</o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>OWASP-Leaders mailing list<o:p></o:p></pre><pre><a
href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><o:p></o:p></pre><pre><a
href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></pre><pre>&nbsp; <o:p></o:p></pre></div>

</body>

</html>