[Owasp-brazilian] CSRF vulnerability in GMail service

Thiago Lechuga thiagoalz at gmail.com
Tue Mar 3 13:50:54 EST 2009


É... Pensando bem... um CSRF desse, num forum famoso, com uma wordlist boa.
Dá pra sair uma brincadeira legal.

[]s,

Thiago Alvarenga Lechuga
(19)9153-3822

Página Pessoal:
http://thiagoalz.googlepages.com/home
http://segurancawebbr.blogspot.com/

===Knowledge is only useful if you can share it.===


2009/3/3 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>

> Como o Thiago citou, após algumas tentativas erradas no site o sistema
> começa a usar "mecanismos" de segurança.
>
> No caso, eu pelo menos me cito como exemplo, passo o dia todo com meu gmail
> aberto, e acredito que a maioria aqui tambem o faça.
>
> Qual a dificuldade de se criar um js + iframe e ficar tentando um BF  na
> nossa sessão?
>
> Como citado o problema é um CSRF que possibilita o BF. o CSRF por si so nao
> faz nada =)
>
> Critico? Tudo depende de quao dificil é a senha utilizada, e se pensarmos
> num mundo de milhoes de emails, talvez seja =)!
>
> Abs,
>
>
>
> On Tue, Mar 3, 2009 at 2:03 PM, Fernando Cima <fcima at microsoft.com> wrote:
>
>>  Fazer o brute force (“The password cracking is executed transparently to
>> the victim”) o atacante pode fazer indo diretamente na página do Gmail, não
>> precisa de CSRF para isso...
>>
>>
>>
>> Abraços,
>>
>>
>>
>> - Fernando Cima
>>
>>
>>
>> *From:* owasp-brazilian-bounces at lists.owasp.org [mailto:
>> owasp-brazilian-bounces at lists.owasp.org] *On Behalf Of *Thiago Lechuga
>> *Sent:* Tuesday, March 03, 2009 8:58 AM
>> *To:* Rodrigo Montoro(Sp0oKeR)
>> *Cc:* owasp-brazilian at lists.owasp.org
>> *Subject:* Re: [Owasp-brazilian] CSRF vulnerability in GMail service
>>
>>
>>
>> Ta... mas voce ainda tem que saber o password atual da pessoa... ou rolar
>> um brute force, é isso?
>>
>> Nao é essas coca-cola toda. Quando li a parada achei que era um falha do
>> tipo "Entre aqui e perca seu e-mail".
>>
>>
>> []s,
>>
>> Thiago Alvarenga Lechuga
>> (19)9153-3822
>>
>> Página Pessoal:
>> http://thiagoalz.googlepages.com/home
>> http://segurancawebbr.blogspot.com/
>>
>> ===Knowledge is only useful if you can share it.===
>>
>>   2009/3/3 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>
>> Isso é algo que não esperava ter no google =)
>>
>> Ingles: http://community.nstalker.com/csrf-vulnerability-in-gmail-service
>> pt_BR:
>> http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br
>>
>> Cuidado onde clicam =D
>>
>> Happy Hacking!
>>
>> --
>> ===========================
>> Rodrigo Montoro (Sp0oKeR)
>> http://www.spooker.com.br
>> http://www.snort.org.br
>> http://www.linkedin.com/in/spooker
>> ===========================
>>
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>>
>
>
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090303/99af3e17/attachment.html 


More information about the Owasp-brazilian mailing list