<div>acho que não... mas rola um captcha</div>
<div><br clear="all">[]s,<br><br>Thiago Alvarenga Lechuga<br>(19)9153-3822<br><br>Página Pessoal:<br><a href="http://thiagoalz.googlepages.com/home">http://thiagoalz.googlepages.com/home</a><br><a href="http://segurancawebbr.blogspot.com/">http://segurancawebbr.blogspot.com/</a><br>
<br>===Knowledge is only useful if you can share it.===<br><br><br></div>
<div class="gmail_quote">2009/3/5 Fernando Cima <span dir="ltr">&lt;<a href="mailto:fcima@microsoft.com">fcima@microsoft.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">O Gmail tem lockout de conta após x tentativas?<br>
<div>
<div></div>
<div class="h5"><br>-----Original Message-----<br>From: <a href="mailto:owasp-brazilian-bounces@lists.owasp.org">owasp-brazilian-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-brazilian-bounces@lists.owasp.org">owasp-brazilian-bounces@lists.owasp.org</a>] On Behalf Of Myke<br>
Sent: Thursday, March 05, 2009 7:41 AM<br>To: <a href="mailto:owasp-brazilian@lists.owasp.org">owasp-brazilian@lists.owasp.org</a><br>Subject: Re: [Owasp-brazilian] CSRF vulnerability in GMail service - Round Two<br><br>Alguém aqui leu o paper da immunity explicando sobre o ms exploitability index?<br>
<br>Tudo bem que você precisa saber a senha p/ que o xsrf ocorra, ou se<br>utilizar de guessing/brute force p/ que a vulnerabilidade seja<br>explorada com sucesso, mas se isso ocorrer a vulnerabilidade vai ser<br>crítica e expor completamente o gmail.<br>
<br>A vulnerabilidade existe, só o vetor p/ explora-la não está &quot;maduro&quot;.<br>é só uma questão de tempo.<br><br><a href="http://www.microsoft.com/downloads/details.aspx?FamilyID=0c6e07b5-43ce-4da1-873e-2d604106574c" target="_blank">http://www.microsoft.com/downloads/details.aspx?FamilyID=0c6e07b5-43ce-4da1-873e-2d604106574c</a><br>
<br><br>sds<br><br>Myke<br><br><br><br><br><br><br><br><br><br>2009/3/4 Thiago Lechuga &lt;<a href="mailto:thiagoalz@gmail.com">thiagoalz@gmail.com</a>&gt;:<br>&gt; <a href="https://www.google.com/accounts/UpdateSecureUserInfo" target="_blank">https://www.google.com/accounts/UpdateSecureUserInfo</a><br>
&gt;<br>&gt; []s,<br>&gt;<br>&gt; Thiago Alvarenga Lechuga<br>&gt; (19)9153-3822<br>&gt;<br>&gt; Página Pessoal:<br>&gt; <a href="http://thiagoalz.googlepages.com/home" target="_blank">http://thiagoalz.googlepages.com/home</a><br>
&gt; <a href="http://segurancawebbr.blogspot.com/" target="_blank">http://segurancawebbr.blogspot.com/</a><br>&gt;<br>&gt; ===Knowledge is only useful if you can share it.===<br>&gt;<br>&gt;<br>&gt; 2009/3/4 Thiago Lechuga &lt;<a href="mailto:thiagoalz@gmail.com">thiagoalz@gmail.com</a>&gt;<br>
&gt;&gt;<br>&gt;&gt; Entao cara... se voce for na pagina da sua conta do google (na mesma que<br>&gt;&gt; troca a senha), logo a baixo tem onde configura a pergunta secreta. Ai la<br>&gt;&gt; voce pode escolher essa do primeiro numero de telefone ou algumas outras.<br>
&gt;&gt; Ai a pergunta que voce escolher é a que ele faz na página de trocar senha.<br>&gt;&gt;<br>&gt;&gt; []s,<br>&gt;&gt;<br>&gt;&gt; Thiago Alvarenga Lechuga<br>&gt;&gt; (19)9153-3822<br>&gt;&gt;<br>&gt;&gt; Página Pessoal:<br>
&gt;&gt; <a href="http://thiagoalz.googlepages.com/home" target="_blank">http://thiagoalz.googlepages.com/home</a><br>&gt;&gt; <a href="http://segurancawebbr.blogspot.com/" target="_blank">http://segurancawebbr.blogspot.com/</a><br>
&gt;&gt;<br>&gt;&gt; ===Knowledge is only useful if you can share it.===<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; 2009/3/4 Rodrigo Montoro(Sp0oKeR) &lt;<a href="mailto:spooker@gmail.com">spooker@gmail.com</a>&gt;<br>&gt;&gt;&gt;<br>
&gt;&gt;&gt; E ai Thiago,<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Então cara, isso é uma duvida nossa,  onde esta cadastrado esse telefone?<br>&gt;&gt;&gt; Qdo cadastramos, quando se cria a conta?<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; A pergunta de segurança eu acredito que seja só pra reset da senha não?<br>
&gt;&gt;&gt;<br>&gt;&gt;&gt; Alguém sabe com certeza as das questões acima ? hehehe<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Abs,<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; 2009/3/4 Thiago Lechuga &lt;<a href="mailto:thiagoalz@gmail.com">thiagoalz@gmail.com</a>&gt;<br>
&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Fiquei com mais medo agora! hehehe<br>&gt;&gt;&gt;&gt; Até fui ver como tava minha pergunta de segurança! hehehe<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Assim.... mesmo que a minha pergunta seja outra, ao invés do número de<br>
&gt;&gt;&gt;&gt; telefone, o parâmetro é o mesmo? IdentityAnswer??<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Como disse, se colocar um CSRF desse em um site bem movimentado concordo<br>&gt;&gt;&gt;&gt; que dá pra fazer um estrago.<br>
&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; []s,<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Thiago Alvarenga Lechuga<br>&gt;&gt;&gt;&gt; (19)9153-3822<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; Página Pessoal:<br>&gt;&gt;&gt;&gt; <a href="http://thiagoalz.googlepages.com/home" target="_blank">http://thiagoalz.googlepages.com/home</a><br>
&gt;&gt;&gt;&gt; <a href="http://segurancawebbr.blogspot.com/" target="_blank">http://segurancawebbr.blogspot.com/</a><br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; ===Knowledge is only useful if you can share it.===<br>&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt; 2009/3/4 Rodrigo Montoro(Sp0oKeR) &lt;<a href="mailto:spooker@gmail.com">spooker@gmail.com</a>&gt;<br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt; Retomando o assunto, mas com &quot;outra abordagem&quot;, pensamos em uma<br>
&gt;&gt;&gt;&gt;&gt; situação mais facil de explorar o CSRF, deem uma olhada e falem o que acham<br>&gt;&gt;&gt;&gt;&gt; =)<br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt; <a href="http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two" target="_blank">http://community.nstalker.com/csrf-vulnerability-in-gmail-service-round-two</a><br>
&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt; Happy Hacking!<br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt; --<br>&gt;&gt;&gt;&gt;&gt; ===========================<br>&gt;&gt;&gt;&gt;&gt; Rodrigo Montoro (Sp0oKeR)<br>&gt;&gt;&gt;&gt;&gt; <a href="http://www.spooker.com.br/" target="_blank">http://www.spooker.com.br</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="http://www.snort.org.br/" target="_blank">http://www.snort.org.br</a><br>&gt;&gt;&gt;&gt;&gt; <a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>
&gt;&gt;&gt;&gt;&gt; ===========================<br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt; _______________________________________________<br>&gt;&gt;&gt;&gt;&gt; Owasp-brazilian mailing list<br>&gt;&gt;&gt;&gt;&gt; <a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; --<br>&gt;&gt;&gt; ===========================<br>&gt;&gt;&gt; Rodrigo Montoro (Sp0oKeR)<br>&gt;&gt;&gt; <a href="http://www.spooker.com.br/" target="_blank">http://www.spooker.com.br</a><br>
&gt;&gt;&gt; <a href="http://www.snort.org.br/" target="_blank">http://www.snort.org.br</a><br>&gt;&gt;&gt; <a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>&gt;&gt;&gt; ===========================<br>
&gt;&gt;<br>&gt;<br>&gt;<br>&gt; _______________________________________________<br>&gt; Owasp-brazilian mailing list<br>&gt; <a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br>&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>
&gt;<br>&gt;<br>_______________________________________________<br>Owasp-brazilian mailing list<br><a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>
<br>_______________________________________________<br>Owasp-brazilian mailing list<br><a href="mailto:Owasp-brazilian@lists.owasp.org">Owasp-brazilian@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-brazilian" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-brazilian</a><br>
</div></div></blockquote></div><br>