[Owasp-brazilian] CSRF vulnerability in GMail service - Round Two

Thiago Lechuga thiagoalz at gmail.com
Wed Mar 4 15:28:34 EST 2009


Entao cara... se voce for na pagina da sua conta do google (na mesma que
troca a senha), logo a baixo tem onde configura a pergunta secreta. Ai la
voce pode escolher essa do primeiro numero de telefone ou algumas outras.
Ai a pergunta que voce escolher é a que ele faz na página de trocar senha.

[]s,

Thiago Alvarenga Lechuga
(19)9153-3822

Página Pessoal:
http://thiagoalz.googlepages.com/home
http://segurancawebbr.blogspot.com/

===Knowledge is only useful if you can share it.===


2009/3/4 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>

> E ai Thiago,
>
> Então cara, isso é uma duvida nossa,  onde esta cadastrado esse telefone?
> Qdo cadastramos, quando se cria a conta?
>
> A pergunta de segurança eu acredito que seja só pra reset da senha não?
>
> Alguém sabe com certeza as das questões acima ? hehehe
>
>
> Abs,
>
>
> 2009/3/4 Thiago Lechuga <thiagoalz at gmail.com>
>
> Fiquei com mais medo agora! hehehe
>> Até fui ver como tava minha pergunta de segurança! hehehe
>>
>> Assim.... mesmo que a minha pergunta seja outra, ao invés do número de
>> telefone, o parâmetro é o mesmo? IdentityAnswer??
>>
>> Como disse, se colocar um CSRF desse em um site bem movimentado concordo
>> que dá pra fazer um estrago.
>>
>> []s,
>>
>> Thiago Alvarenga Lechuga
>> (19)9153-3822
>>
>> Página Pessoal:
>> http://thiagoalz.googlepages.com/home
>> http://segurancawebbr.blogspot.com/
>>
>> ===Knowledge is only useful if you can share it.===
>>
>>
>> 2009/3/4 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>
>>>  Retomando o assunto, mas com "outra abordagem", pensamos em uma situação
>>> mais facil de explorar o CSRF, deem uma olhada e falem o que acham =)
>>>
>>>
>>> http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two
>>>
>>> Happy Hacking!
>>>
>>> --
>>> ===========================
>>> Rodrigo Montoro (Sp0oKeR)
>>> http://www.spooker.com.br
>>> http://www.snort.org.br
>>> http://www.linkedin.com/in/spooker
>>> ===========================
>>>
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>>
>>
>
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090304/9a9f6c5f/attachment.html 


More information about the Owasp-brazilian mailing list