<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Indeed user incrimination came to mind.</div><div>Thanks!</div><div><br>Eoin Keary<div>Owasp Global Board</div><div>+353 87 977 2988</div><div><br></div></div><div><br>On 29 May 2013, at 10:38, gaz Heyes <<a href="mailto:gazheyes@gmail.com">gazheyes@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">On 28 May 2013 23:25, Eoin <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Does anyone have any attacks, case studies which result in REAL risk to a business??<br></blockquote><div><br></div><div>A few years ago I did an attack on <a href="http://del.icio.us">del.icio.us</a> where it logged you in as a user, you could then see what the user bookmarked. For web services it's a valid attack on privacy. Would also work to incriminate a user.<br>
</div></div></div></div>
</div></blockquote></body></html>