<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=koi8-r"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Arial Unicode MS";
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"\@Arial Unicode MS";
        panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        color:windowtext;
        font-weight:normal;
        font-style:normal;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Abe/Dinis/Alvaro,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>I attended the DefCon presentation and I thought your presentation went very well. Actually, it scared the hell out me. </span><span style='font-size:10.0pt;font-family:Wingdings'>J</span><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>I was the attendee that raised a hand and said, “Damn Vulnerable REST API?”. Abe nods and agrees that they are vulnerable and then gets ready to answer the next question. I think my question mark got lost in the room noise, so I asked it again with some additional clarification. Then the light goes on and the initial response seemed to indicate that the idea might have some merit.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>I need to start working to educate our application architect/development teams and while I’m pretty sure I don’t have the time to lead such an effort, I would be interested in participating if someone thought this was a worthwhile effort.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>jr<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><img width=104 height=136 id="Picture_x0020_1" src="cid:image002.jpg@01CE92BE.90BC3CA0" alt="Description: C:\Documents and Settings\jmroger\Application Data\Microsoft\Signatures\sb.jpg"><br></span><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>John M. Rogers, CISSP<br>Senior Application Security Engineer<br>Lincoln Financial Group, 8801 Indian Hills Drive 8972, Omaha, NE 68114<br>Phone: Work: 402-361-7343, Cell: 402-536-0722<br>Email: John.Rogers@lfg.com<br>Web: </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><a href="www.lfg.com"><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>www.lfg.com</span></a></span><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'> </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:10.0pt;font-family:"Arial Unicode MS","sans-serif";color:#98002E'>You’re In Charge <sup>sm</sup></span></b><o:p></o:p></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:#FFD633'></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <a href="http://www.livestrong.org" target="_blank"><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>WearYellow, LIVESTRONG!</span></b></a> </span><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:#FFD633'></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-leaders-bounces@lists.owasp.org [mailto:owasp-leaders-bounces@lists.owasp.org] <b>On Behalf Of </b>Abraham Kang<br><b>Sent:</b> Tuesday, August 06, 2013 3:11 PM<br><b>To:</b> Jim Manico<br><b>Cc:</b> java-project@lists.owasp.org; owasp-leaders@lists.owasp.org<br><b>Subject:</b> Re: [Owasp-leaders] Using XMLDecoder to execute server-side Java Code on an Restlet application (i.e. Remote Command Execution)<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Remember that you can insert the exploit code even after the valid xml.<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>Also want to clarify that Dennis, Alvaro and I worked very hard over the past year researching, reading and testing REST APIs to find these types of vulnerabilities.<o:p></o:p></p></div><p class=MsoNormal>Regards,<br>Abe<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Tue, Aug 6, 2013 at 12:31 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<o:p></o:p></p><p class=MsoNormal>The Java security manager runtime permissions have no management<br>software available and often break functionality that these libraries<br>depend on to run. I still think schema validation is in order. I'll dig<br>a little deeper into this (from a defense perspective) and get back to<br>you on this.<br><br>Cheers,<br>Jim<o:p></o:p></p><div><div><p class=MsoNormal><br><br>> Policy file runtime permissions may help in restricting execution of rogue code. Most containers have them.<br>> Nice work btw<br>><br>> Eoin Keary<br>> Owasp Global Board<br>> <a href="tel:%2B353%2087%20977%202988">+353 87 977 2988</a><br>><br>><br>> On 6 Aug 2013, at 19:39, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>><br>>> You normally want to do structural validation of untrusted XML before<br>>> you accept it (using XML schema or the like). Such defenses if<br>>> implemented right should protect you from this kind of vulnerability.<br>>><br>>> But wow, very interesting work.<br>>><br>>> Cheers,<br>>> Jim<br>>><br>>><br>>>> I wasn't aware that this was possible. Nice work!<br>>>><br>>>> I'd be very interested in seeing how a Security Manager can be used to<br>>>> sandbox a class like this.<br>>>><br>>>> If you restrict it to elementary Objects such as String, Integer,<br>>>> Boolean, Float, etc, and Collection classes such as Map and List, I<br>>>> suspect that you should not be able to do too much damage. How would you<br>>>> get a reference to the application code, anyway, to attack the<br>>>> application assets?<br>>>><br>>>> Rogan<br>>>><br>>>><br>>>> On 06/08/2013 14:38, Dinis Cruz wrote:<br>>>>> Hi, where you aware that XmlDecoder could be used this way:<br>>>>> <a href="http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html" target="_blank">http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html</a><br>>>>> (see<br>>>>> examples at the end)<br>>>>><br>>>>> Me and Abe presented that last week at DefCon and the awareness was very<br>>>>> low.<br>>>>><br>>>>> I'm also sure that there are other dangerous/exploitable uses of<br>>>>> XmlDecoder on other REST or web apis.<br>>>>><br>>>>> Finally what about fixing/mitigating this? It looks like Java Sandboxing<br>>>>> using the Security manager is one option, but even that will not be<br>>>>> safe, since the attacker will be able to attack the application assets.<br>>>>><br>>>>> Any other ideas?<br>>>>><br>>>>> Dinis Cruz<br>>>>><br>>>>><br>>>>> _______________________________________________<br>>>>> OWASP-Leaders mailing list<br>>>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>>><br>>>> _______________________________________________<br>>>> OWASP-Leaders mailing list<br>>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>>><br>>> _______________________________________________<br>>> OWASP-Leaders mailing list<br>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br><br>_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><o:p></o:p></p></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div><P></P>
<P></P>
<P>Notice of Confidentiality: **This E-mail and any of its attachments may contain <br>Lincoln National Corporation proprietary information, which is privileged, confidential,<br>or subject to copyright belonging to the Lincoln National Corporation family of <br>companies. This E-mail is intended solely for the use of the individual or entity to <br>which it is addressed. If you are not the intended recipient of this E-mail, you are <br>hereby notified that any dissemination, distribution, copying, or action taken in <br>relation to the contents of and attachments to this E-mail is strictly prohibited <br>and may be unlawful. If you have received this E-mail in error, please notify the <br>sender immediately and permanently delete the original and any copy of this E-mail <br>and any printout. Thank You.**</P></body></html>