<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; "><div>How about as a follow-up to a Spear Phishing attack. </div><div><br></div><div>Step 1) Phishing to get the target's credentials</div><div>Step 2) CSRF Login to the target's account</div><div>Step 3) ….</div><div>Step 4) Profit</div><div><br></div><div>This could be used to bypass IP Filtering Controls (an example would be the admin functionality of apps that IP Filter who can access the application)</div><div><br></div><div>This may be a bit edge case, but if done right could be a pretty powerful attack.</div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br><span style="font-weight:bold">Date: </span> Tuesday, May 28, 2013 4:35 PM<br><span style="font-weight:bold">To: </span> "<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>" <<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>><br><span style="font-weight:bold">Cc: </span> Leaders <<a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a>><br><span style="font-weight:bold">Subject: </span> Re: [Owasp-leaders] CSRF<br></div><div><br></div><div dir="ltr"><div><div><div>Jim's example is a real concern. It can be abstracted to any situation when the owner of the system derives value by having the user logged into the account.<br><br>Think of these examples:<br></div>- App X that records your location every minute for some benefit : If an attacker csrf logs you into this app with the attacker's account then the attacker could track your movement.<br></div>- Similar scenario with a remote admin type app that is granted camera access. Could the attacker turn on the camera via a webpage for their account?<br><br></div>Login csrf is a different type of risk and doesn't always apply. But there are some specific situations where it could be a real concern.<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates | OWASP | @_mwc<br><br></div></div><br><br><div class="gmail_quote">On Tue, May 28, 2013 at 3:25 PM, Eoin <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It's a bit bullshitty :)<br><br>
And you assume the victim Does not notice they are not logged into their account, but rather yours (the attacker).<br><br>
Does anyone have any attacks, case studies which result in REAL risk to a business??<br><div class="im HOEnZb"><br><br><br><br>
Eoin Keary<br>
Owasp Global Board<br><a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br><br><br></div><div class="HOEnZb"><div class="h5">On 28 May 2013, at 23:20, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br><br>
> For sure.<br>
><br>
> For example, if I can CSRF you to log into a Google account that I<br>
> control, I can then track all of your Google searches.<br>
><br>
> This is edge case, but still viable.<br>
><br>
> - Jim<br>
><br>
>> Does CSRF ing a login page make sense to anyone :)<br>
>><br>
>><br>
>> Eoin Keary<br>
>> Owasp Global Board<br>
>> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
>><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br></div></div></blockquote></div><br></div>
_______________________________________________
OWASP-Leaders mailing list
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</span></body></html>