<div dir="ltr">Account DOS would work too since you could send a valid username with an incorrect password from lots of IP addresses which might cause an account lockout.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On 29 May 2013 15:29, Christian Papathanasiou <span dir="ltr"><<a href="mailto:christian.papathanasiou@owasp.org" target="_blank">christian.papathanasiou@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Another scenario is:<br>
<br>
Distributed client side login/pass bruteforce :-)<br>
<br>
Once victims connect to attacker controlled server they are dished out hundreds of CSRF vectors such ass<br>
<br>
<img src=<a href="http://server/login?username=&user1pass=pass1" target="_blank">http://server/login?username=&user1pass=pass1</a>><br>
<br>
Username password pairs<br>
<br>
With each subsequent CSRF vector sent  testing for a post authentication function<br>
<br>
Once word list subset exhausted page updates with next set to try<br>
<br>
In essence achieving distributed non attributable brute force (and potentially knock on effects of application layer DoS)<br>
<br>
All theoretically possible I think but have never seen that really done in the wild have any of you? Perhaps something BeEF does in the XSS world?<br>
<span class="HOEnZb"><font color="#888888"><br>
Christian<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
On 29 May 2013, at 14:46, Giorgio Fedon <<a href="mailto:giorgio.fedon@owasp.org">giorgio.fedon@owasp.org</a>> wrote:<br>
<br>
> Another scenario is when you need to poison DNS cache. In that case you<br>
> may need many resolution request from a lot of different ips. And maybe<br>
> the function that force the dns resolution is in the authenticated area<br>
><br>
><br>
> On 05/29/2013 03:19 PM, gaz Heyes wrote:<br>
>> On 29 May 2013 14:14, Giorgio Fedon <<a href="mailto:giorgio.fedon@owasp.org">giorgio.fedon@owasp.org</a><br>
>> <mailto:<a href="mailto:giorgio.fedon@owasp.org">giorgio.fedon@owasp.org</a>>> wrote:<br>
>><br>
>>    Incrimination is something that may happen by forcing a user doing<br>
>>    something illegal.<br>
>><br>
>><br>
>> That isn't what I meant. You can assign the IP address of the user to<br>
>> a specific account that has already performed or about to perform<br>
>> illegal activity.<br>
><br>
><br>
> --<br>
> | Giorgio Fedon, Owasp Italy<br>
> |<br>
> | In Input Validation<br>
> |            and Output Sanitization,<br>
> |                                   We Trust<br>
> --<br>
> | Web: <a href="https://www.owasp.org/index.php/Italy" target="_blank">https://www.owasp.org/index.php/Italy</a><br>
> |_____________________________________________.<br>
><br>
</div></div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>