[Owasp-brazilian] CSRF vulnerability in GMail service

Ulisses Castro (thebug) uss.thebug at gmail.com
Tue Mar 3 14:46:19 EST 2009


Opa!

"POP Download: 1. Status: POP is enabled for all mail (...)"

Se a maior consequência é a possibilidade de realizar brute force no
gmail, por padrão o gmail permite download das mensagens via pop3
(ssl) logo quando se cria uma conta, contudo, é possível realizar
brute force através deste vetor.

Um scriptzim em python usando poplib (threads quem sabe?), poderia
realizar um brute force sem se preocupar com o CAPTCHA.

Com o vetor que demonstraram abre mais possibilidades, além do
CAPTCHA, (js + iframes (invíveis?) + XSRF), ampliam o método do brute
force de simples scripts para algo mais interessante[1]...

Recomendo a leitura deste paper[1] para entender do que estou falando. ;)

Abraços,

1 - http://packetstormsecurity.org/filedesc/parasitic_wpa_cracking.pdf.html

-- 
Ulisses Castro (thebug)
http://ulissescastro.wordpress.com
uss.thebug at gmail.com




2009/3/3 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> Como o Thiago citou, após algumas tentativas erradas no site o sistema
> começa a usar "mecanismos" de segurança.
>
> No caso, eu pelo menos me cito como exemplo, passo o dia todo com meu gmail
> aberto, e acredito que a maioria aqui tambem o faça.
>
> Qual a dificuldade de se criar um js + iframe e ficar tentando um BF  na
> nossa sessão?
>
> Como citado o problema é um CSRF que possibilita o BF. o CSRF por si so nao
> faz nada =)
>
> Critico? Tudo depende de quao dificil é a senha utilizada, e se pensarmos
> num mundo de milhoes de emails, talvez seja =)!
>
> Abs,
>
>
> On Tue, Mar 3, 2009 at 2:03 PM, Fernando Cima <fcima at microsoft.com> wrote:
>>
>> Fazer o brute force (“The password cracking is executed transparently to
>> the victim”) o atacante pode fazer indo diretamente na página do Gmail, não
>> precisa de CSRF para isso...
>>
>>
>>
>> Abraços,
>>
>>
>>
>> - Fernando Cima
>>
>>
>>
>> From: owasp-brazilian-bounces at lists.owasp.org
>> [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Thiago Lechuga
>> Sent: Tuesday, March 03, 2009 8:58 AM
>> To: Rodrigo Montoro(Sp0oKeR)
>> Cc: owasp-brazilian at lists.owasp.org
>> Subject: Re: [Owasp-brazilian] CSRF vulnerability in GMail service
>>
>>
>>
>> Ta... mas voce ainda tem que saber o password atual da pessoa... ou rolar
>> um brute force, é isso?
>>
>> Nao é essas coca-cola toda. Quando li a parada achei que era um falha do
>> tipo "Entre aqui e perca seu e-mail".
>>
>> []s,
>>
>> Thiago Alvarenga Lechuga
>> (19)9153-3822
>>
>> Página Pessoal:
>> http://thiagoalz.googlepages.com/home
>> http://segurancawebbr.blogspot.com/
>>
>> ===Knowledge is only useful if you can share it.===
>>
>> 2009/3/3 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>
>> Isso é algo que não esperava ter no google =)
>>
>> Ingles: http://community.nstalker.com/csrf-vulnerability-in-gmail-service
>> pt_BR:
>> http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br
>>
>> Cuidado onde clicam =D
>>
>> Happy Hacking!
>>
>> --
>> ===========================
>> Rodrigo Montoro (Sp0oKeR)
>> http://www.spooker.com.br
>> http://www.snort.org.br
>> http://www.linkedin.com/in/spooker
>> ===========================
>>
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Ulisses Castro (thebug)
http://ulissescastro.wordpress.com
uss.thebug at gmail.com


More information about the Owasp-brazilian mailing list