No, I do not agree with that.<br><br>
<div class="gmail_quote">On Wed, Feb 4, 2009 at 11:54 PM, Bipin Upadhyay <span dir="ltr">&lt;<a href="mailto:muxical.geek@gmail.com">muxical.geek@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div text="#000000" bgcolor="#ffffff">
<div class="Ih2E3d">Gunwant Singh wrote: 
<blockquote type="cite">Both are independent of each other. An application may be vulnerable to one of the attacks but not the other at the same time. <br></blockquote></div>I think there&#39;s a slight mistake here. An app vulnerable to XSS is automatically vulnerable to CSRF.<br>

<blockquote type="cite">
<div class="Ih2E3d"><br>For a CSRF attack, an application does not need to be susceptible to XSS attack. Often, to execute an XSS attack, one needs to include a script in the context of the application. So if you can incorporate some scripting you can execute XSS. Although there are many variations to this, which is another story. For CSRF, one needs to execute code (not necessarily a script)&nbsp; in the authentication context of the user that changes the state of the application. For example: Changing password, transfering money from his a/c to the attackers, etc.<br>
<br>Hope that helps. Let me know if any further clarification is required.<br><br>Regards,<br>Gunwant<br><br>
<div class="gmail_quote">On Mon, Feb 2, 2009 at 4:35 PM, Parmendra Sharma <span dir="ltr">&lt;<a href="mailto:s.parmendra@gmail.com" target="_blank">s.parmendra@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>Hello All,</div>
<div>&nbsp;</div>
<div>Please clarify the belowmentioned point:</div>
<div>&nbsp;</div>
<div>&quot;XSS flaws is susceptible to CSRF because a CSRF attack can exploit the XSS flaw to steal any non-automatically submitted credential that might be in place to protect against a CSRF attack&quot;<br clear="all">
</div>
<div>Please&nbsp;mention the scenerio where both the vulnerabilities are in action....<br>-- <br>Thanks and Regards:<br><br>Parmendra Sharma<br>Indian Computer Emergency Response Team (CERT-In)<br>Ministry of Information Technology<br>
Government of India<br>6 C.G.O Complex<br>Lodhi Road<br>New Delhi<br></div><br>_______________________________________________<br>Owasp-delhi mailing list<br><a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br><br></blockquote></div><br><br clear="all"><br>-- <br>Gunwant Singh<br><br></div><pre>
<hr width="90%" size="4"><div class="Ih2E3d">
_______________________________________________
Owasp-delhi mailing list
<a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a>
  </div></pre></blockquote>--Bipin Upadhyay.<br></div></blockquote></div><br><br clear="all"><br>-- <br>Gunwant Singh<br><br>