<div dir="ltr">Additionally, in the cat and mouse game that is application level DDoS - putting a CSRF on a login page ups the work factor the attacker is required to perform to abuse the login page. Yes, this is a solvable problem from the attackers point of view; but depending on how it is done you do increase the work factor so an attacker might look at a different part of your public site to DOS.<div>
<br></div><div style>--Jeremy</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, May 29, 2013 at 3:49 AM, Giorgio Fedon <span dir="ltr"><<a href="mailto:giorgio.fedon@owasp.org" target="_blank">giorgio.fedon@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
<br>
This is my opinion<br>
<br>
CSRF attacks are "blind" type of attacks, are effective if cause a<br>
change of state.<br>
Typically CUD operations, create update delete and not read operations<br>
are subjected to CSRF.<br>
Read operations ca be accessed sometimes in a way similar to CSRF, but<br>
they need other issues to be abused like Javascript Hijacking was one of<br>
those.<br>
Login operations are needed to authenticate the user, and after a<br>
correct login the user changes his state from anonymous to<br>
authenticated, and that change of state is typically written in db or to<br>
some applicative storage.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On 05/29/2013 01:53 AM, Dave Wichers wrote:<br>
> It deserves being explained in the OWASP article on CSRF. This is a bit too<br>
> detailed for the 1 page we have on each Top 10 item in my opinion.<br>
><br>
> -Dave<br>
><br>
> -----Original Message-----<br>
> From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a><br>
> [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a>] On Behalf Of Eoin<br>
> Sent: Tuesday, May 28, 2013 6:28 PM<br>
> To: Gunnar Peterson<br>
> Cc: OWASP Leaders<br>
> Subject: Re: [Owasp-leaders] CSRF<br>
><br>
> Is this explained properly in the new top 10?? I don't recall seeing this.<br>
><br>
><br>
> Eoin Keary<br>
> Owasp Global Board<br>
> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
><br>
><br>
> On 28 May 2013, at 23:24, Gunnar Peterson <<a href="mailto:gunnar@arctecgroup.net">gunnar@arctecgroup.net</a>> wrote:<br>
><br>
>> three things come to mind<br>
>><br>
>> 1. if you have a large enough pool of users and want to brute force<br>
>><br>
>> 2. or simply try and lock out a bunch of users, and force them to a weaker<br>
> scheme (questions) that you can wedge into<br>
>> 3. if the site caches creds somewhere and you can reinstantiate that way<br>
>><br>
>> -gunnar<br>
>><br>
>><br>
>><br>
>> On May 28, 2013, at 5:17 PM, Eoin wrote:<br>
>><br>
>>> Does CSRF ing a login page make sense to anyone :)<br>
>>><br>
>>><br>
>>> Eoin Keary<br>
>>> Owasp Global Board<br>
>>> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
>>><br>
>>> _______________________________________________<br>
>>> OWASP-Leaders mailing list<br>
>>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
> _______________________________________________<br>
> OWASP-Leaders mailing list<br>
> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
| Giorgio Fedon, Owasp Italy<br>
|<br>
| In Input Validation<br>
|            and Output Sanitization,<br>
|                                   We Trust<br>
--<br>
| Web: <a href="https://www.owasp.org/index.php/Italy" target="_blank">https://www.owasp.org/index.php/Italy</a><br>
|_____________________________________________.<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>