<div dir="ltr">Are you referring to what is happening with the OWASP subdomains. <div class="gmail_extra"><div><div class="gmail_signature"><br>Tom Brennan<br>Global Board of Directors <br>(d) 973-506-9304<br><br>OWASP Foundation | <a href="http://www.owasp.org" target="_blank">www.owasp.org</a></div></div>
<br><div class="gmail_quote">On Tue, Feb 16, 2016 at 4:03 AM, Ali Razmjoo <span dir="ltr"><<a href="mailto:ali.razmjoo@owasp.org" target="_blank">ali.razmjoo@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-family:comic sans ms,sans-serif">Hello Johanna,</div><div style="font-family:comic sans ms,sans-serif"><br></div><div style="font-family:comic sans ms,sans-serif">I don't have much information, but like @Munir said, it could be use for insecure redirect and it's usable to phishing attacks,</div><div style="font-family:comic sans ms,sans-serif">Seconds, it's you can access the original website, and sometimes it could be help us to bypassing firewall or wafs by that. [it could be useful if you feel server has a firewall which is blocking your request for testing a bug]</div><div style="font-family:comic sans ms,sans-serif">3rd, you may access to see restricted area, or internal servers/hosts by changing  your request, it's not easy to guess internal hosts or ip addresses, I don't see any software or scanner to do it for you. but it's not that hard if you have a live target and make a [python] script for this. you may test also some ports on target, you can bypass to access them [through http] to see there too.</div><div style="font-family:comic sans ms,sans-serif"><br></div><div style="font-family:comic sans ms,sans-serif">Regards.</div><div style="font-family:comic sans ms,sans-serif"><br></div><div style="font-family:comic sans ms,sans-serif"><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 16, 2016 at 10:56 AM, Munir Njiru <span dir="ltr"><<a href="mailto:munir.njiru@owasp.org" target="_blank">munir.njiru@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Johanna, <div>Seeing again no revalidation is done , an attacker in my view would also look for insecure direct object references hence accessing assets they shouldn't .</div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"><span></span>Munir Njenga,<br>OWASP Chapter Leader (Kenya) || Information Security Consultant || Developer<br>Mob   (KE) <a href="tel:%2B254%20%280%29%20734960670" value="+254734960670" target="_blank">+254 (0) 734960670</a><br><br>=============================<br></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Chapter Page: <a href="https://www.owasp.org/index.php/Kenya" target="_blank">www.owasp.org/index.php/Kenya</a><br></span></span></div><div><span style="font-size:12.8px;color:rgb(153,153,153)">Project Site:        </span><a href="http://alienwithin.github.io/OWASP-mth3l3m3nt-framework/" style="font-size:12.8px" target="_blank">http://alienwithin.github.io/OWASP-mth3l3m3nt-framework/</a><span style="font-size:12.8px"><span style="color:rgb(153,153,153)"><br></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Email: <a href="mailto:munir.njiru@owasp.org" target="_blank">munir.njiru@owasp.org</a></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Facebook: <a href="https://www.facebook.com/OWASP.Kenya" target="_blank">https://www.facebook.com/OWASP.Kenya</a><br></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)">Mailing List: <a href="https://lists.owasp.org/mailman/listinfo/owasp-Kenya" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-Kenya</a><br></span></span></div><div><span style="background-color:rgb(255,255,255)"><span style="color:rgb(153,153,153)"><br></span></span></div></div></div></div></div></div>
<br><div class="gmail_quote"><div><div>On Tue, Feb 16, 2016 at 7:42 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Forgot to mention, other vulnerabilities than session fixation<div><br></div><div><span><div>The situation is the following:</div><div><br></div><div><ul><li style="margin-left:15px">A system admin has configured multiple subdomains under 1 server<br></li><li style="margin-left:15px">A reverse proxy redirects to subdomains<br></li><li style="margin-left:15px">However, session ids are not properly validated as userA can request on subdomain_A a and use the same session id if he browses to subdomainB (the server/applicatiopn does not revalidate a new session again)<br></li><li style="margin-left:15px">After temp[eraing with header requests such as Referer and Host, I'm able to show inn the URL I'm in subdomainB however I'm userA. Funny enough the application shown is from SudomainA buit the URL is showing subdomainB </li></ul><div>Questions</div></div><div><br></div></span><div><ul style="font-size:13px"><li style="margin-left:15px">What are the possible attack vectors to bypass the authentication (lets say impersonate and login into subdomainB application) <span style="font-size:small">other than session fixation</span></li></ul><span><ul style="font-size:13px"><li style="margin-left:15px">Are any other kind of risks associated with this vulnerability?</li></ul><ul style="font-size:13px"><li style="margin-left:15px">When I tested this using burp, I got a message '<font color="#333333" face="Helvetica Neue, Helvetica, Arial, sans-serif">Cookie scoped to parent domain'(which off course allowed me to trick the server with the Referer/host request tampering</font></li></ul></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 15, 2016 at 10:07 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Hi leaders<div><br></div><div>I have a question I was looking for some info to understand surface attack but could not find a specific case or documentation regarding this</div><div><br></div><div>The situation is the following:</div><div><br></div><div><ul><li>A system admin has configured multiple subdomains under 1 server<br></li><li>A reverse proxy redirects to subdomains<br></li><li>However, session ids are not properly validated as userA can request on subdomain_A a and use the same session id if he browses to subdomainB (the server/applicatiopn does not revalidate a new session again)<br></li><li>After temp[eraing with header requests such as Referer and Host, I'm able to show inn the URL I'm in subdomainB however I'm userA. Funny enough the application shown is from SudomainA buit the URL is showing subdomainB </li></ul><div>Questions</div></div><div><br></div><div><ul><li>What are the possible attack vectors to bypass the authentication (lets say impersonate and login into subdomainB application)</li></ul><ul><li>Are any other kind of risks associated with this vulnerability?</li></ul><ul><li>When I tested this using burp, I got a message '<font color="#333333" face="Helvetica Neue, Helvetica, Arial, sans-serif">Cookie scoped to parent domain'(which off course allowed me to trick the server with the Referer/host request tampering)</font><br></li></ul><div><font color="#333333" face="Helvetica Neue, Helvetica, Arial, sans-serif">Cheers</font></div></div><span><font color="#888888"><div><font color="#333333" face="Helvetica Neue, Helvetica, Arial, sans-serif"><br></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Arial, sans-serif">Johanna</font></div></font></span></div>
</blockquote></div><br></div></div></div></div></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>

<br>
<font size="2" style="background-color:white" color="#808080"><span style="font-family:'times new roman'">The information contained in this message and any attachments may be privileged, confidential, proprietary or otherwise protected from disclosure. If you, the reader of this message, are not the intended recipient, you are hereby notified that any dissemination, distribution, copying or use of this message and any attachment is strictly prohibited. If you have received this message in error, please notify the sender immediately by replying to the message, permanently delete it from your computer and destroy any printout.</span></font>