[Owasp-brazilian] CSRF vulnerability in GMail service - Round Two

Fernando Cima fcima at microsoft.com
Thu Mar 5 10:47:12 EST 2009


O Gmail tem lockout de conta após x tentativas?

-----Original Message-----
From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Myke
Sent: Thursday, March 05, 2009 7:41 AM
To: owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] CSRF vulnerability in GMail service - Round Two

Alguém aqui leu o paper da immunity explicando sobre o ms exploitability index?

Tudo bem que você precisa saber a senha p/ que o xsrf ocorra, ou se
utilizar de guessing/brute force p/ que a vulnerabilidade seja
explorada com sucesso, mas se isso ocorrer a vulnerabilidade vai ser
crítica e expor completamente o gmail.

A vulnerabilidade existe, só o vetor p/ explora-la não está "maduro".
é só uma questão de tempo.

http://www.microsoft.com/downloads/details.aspx?FamilyID=0c6e07b5-43ce-4da1-873e-2d604106574c


sds

Myke









2009/3/4 Thiago Lechuga <thiagoalz at gmail.com>:
> https://www.google.com/accounts/UpdateSecureUserInfo
>
> []s,
>
> Thiago Alvarenga Lechuga
> (19)9153-3822
>
> Página Pessoal:
> http://thiagoalz.googlepages.com/home
> http://segurancawebbr.blogspot.com/
>
> ===Knowledge is only useful if you can share it.===
>
>
> 2009/3/4 Thiago Lechuga <thiagoalz at gmail.com>
>>
>> Entao cara... se voce for na pagina da sua conta do google (na mesma que
>> troca a senha), logo a baixo tem onde configura a pergunta secreta. Ai la
>> voce pode escolher essa do primeiro numero de telefone ou algumas outras.
>> Ai a pergunta que voce escolher é a que ele faz na página de trocar senha.
>>
>> []s,
>>
>> Thiago Alvarenga Lechuga
>> (19)9153-3822
>>
>> Página Pessoal:
>> http://thiagoalz.googlepages.com/home
>> http://segurancawebbr.blogspot.com/
>>
>> ===Knowledge is only useful if you can share it.===
>>
>>
>> 2009/3/4 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>>
>>> E ai Thiago,
>>>
>>> Então cara, isso é uma duvida nossa,  onde esta cadastrado esse telefone?
>>> Qdo cadastramos, quando se cria a conta?
>>>
>>> A pergunta de segurança eu acredito que seja só pra reset da senha não?
>>>
>>> Alguém sabe com certeza as das questões acima ? hehehe
>>>
>>>
>>> Abs,
>>>
>>>
>>> 2009/3/4 Thiago Lechuga <thiagoalz at gmail.com>
>>>>
>>>> Fiquei com mais medo agora! hehehe
>>>> Até fui ver como tava minha pergunta de segurança! hehehe
>>>>
>>>> Assim.... mesmo que a minha pergunta seja outra, ao invés do número de
>>>> telefone, o parâmetro é o mesmo? IdentityAnswer??
>>>>
>>>> Como disse, se colocar um CSRF desse em um site bem movimentado concordo
>>>> que dá pra fazer um estrago.
>>>>
>>>> []s,
>>>>
>>>> Thiago Alvarenga Lechuga
>>>> (19)9153-3822
>>>>
>>>> Página Pessoal:
>>>> http://thiagoalz.googlepages.com/home
>>>> http://segurancawebbr.blogspot.com/
>>>>
>>>> ===Knowledge is only useful if you can share it.===
>>>>
>>>>
>>>> 2009/3/4 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>>>>
>>>>> Retomando o assunto, mas com "outra abordagem", pensamos em uma
>>>>> situação mais facil de explorar o CSRF, deem uma olhada e falem o que acham
>>>>> =)
>>>>>
>>>>>
>>>>> http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two
>>>>>
>>>>> Happy Hacking!
>>>>>
>>>>> --
>>>>> ===========================
>>>>> Rodrigo Montoro (Sp0oKeR)
>>>>> http://www.spooker.com.br
>>>>> http://www.snort.org.br
>>>>> http://www.linkedin.com/in/spooker
>>>>> ===========================
>>>>>
>>>>> _______________________________________________
>>>>> Owasp-brazilian mailing list
>>>>> Owasp-brazilian at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>
>>>>
>>>
>>>
>>>
>>> --
>>> ===========================
>>> Rodrigo Montoro (Sp0oKeR)
>>> http://www.spooker.com.br
>>> http://www.snort.org.br
>>> http://www.linkedin.com/in/spooker
>>> ===========================
>>
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian



More information about the Owasp-brazilian mailing list