<div dir="ltr"><div><div>We all had important contributions to the success of this talk.<br><br></div>Regards,<br></div>Abe<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Aug 6, 2013 at 5:16 PM, Dinis Cruz <span dir="ltr"><<a href="mailto:dinis.cruz@owasp.org" target="_blank">dinis.cruz@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Just to be clear on this one: Abe did most of the research (he read 1000s of pages on REST and XML) and Alvaro did the first PoCs. <div>
<br></div><div>They are the ones that deserve the credit for this discovery</div>
</div><div class="gmail_extra"><div class="im"><br clear="all"><div><br>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com" target="_blank">http://diniscruz.blogspot.com</a><br>Twitter: <a href="http://twitter.com/DinisCruz" target="_blank">http://twitter.com/DinisCruz</a><br>

Web: <a href="http://www.owasp.org/index.php/O2" target="_blank">http://www.owasp.org/index.php/O2</a></div>
<br><br></div><div class="gmail_quote"><div><div class="h5">On 6 August 2013 20:56, Dennis Groves <span dir="ltr"><<a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<div>
<p dir="auto">Jim,</p>

<p dir="auto">Input validation is hard enough as it is. Entity content compounds this problem enormously. You can validate an XML document fairly easily. However, validation of entity contents requires yet-another-grammer! To me the safest thing you can do is to <a href="http://world.std.com/%7Edtd/sign_encrypt/sign_encrypt7.html" target="_blank">sign-then-encrypt</a>. </p>



<p dir="auto">As the russians say: Trust, but verify.</p>

<p dir="auto">Do let me know what you learn - Dinis has made a very interesting discovery.</p>

<p dir="auto">Dennis</p><div>

<p dir="auto">On 6 Aug 2013, at 12:31, Jim Manico wrote:</p>

<blockquote>
<p dir="auto">The Java security manager runtime permissions have no management<br>
software available and often break functionality that these libraries<br>
depend on to run. I still think schema validation is in order. I'll dig<br>
a little deeper into this (from a defense perspective) and get back to<br>
you on this.</p>

<p dir="auto">Cheers,<br>
Jim</p>

<blockquote>
<p dir="auto">Policy file runtime permissions may help in restricting execution of rogue code. Most containers have them.<br>
Nice work btw</p>

<p dir="auto">Eoin Keary<br>
Owasp Global Board<br>
<a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></p>

<p dir="auto">On 6 Aug 2013, at 19:39, Jim Manico <a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a> wrote:</p>

<blockquote>
<p dir="auto">You normally want to do structural validation of untrusted XML before<br>
you accept it (using XML schema or the like). Such defenses if<br>
implemented right should protect you from this kind of vulnerability.</p>

<p dir="auto">But wow, very interesting work.</p>

<p dir="auto">Cheers,<br>
Jim</p>
</blockquote>
</blockquote>
</blockquote>

</div><p dir="auto">Dennis</p>

<hr>

<p dir="auto"><a href="http://about.me/dennis.groves" target="_blank">Dennis Groves</a>, MSc<br>
<a href="mailto:dennis.groves@owasp.org" target="_blank">Email me</a> or <a href="http://goo.gl/8sPIy" target="_blank">schedule a meeting</a>.</p>

<pre><code>Unless someone like you...cares a whole awful lot...
nothing is going to get better...It's not."
                                        -- The Lorax
</code></pre>

</div><br></div></div><div class="im">_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></div></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>