**WEB 100 - Moneyzgone**

Le site nous propose de nous inscrire pour accèder aux différents services 
{{ :ctf:2016:inshack:moneyzgone_web.png?nolink |}}

Une fois connecté nous pouvons créer nos propres publicités 

{{ :ctf:2016:inshack:moneyzgone1.png?nolink |}}

La publicité doit être cependant validée par un administrateur pour être mise en ligne.
{{ :ctf:2016:inshack:moneyzgone2.png?nolink |}}

N'ayant pas de profil admin nous ne pouvons pas valider notre publicité.
Nous récupérons le chemin de validation. (pour nous cela sera /accept/203)

Après plusieurs tests on remarque que le champ "url source de l'image" est surement sujet aux csrf.

On édite notre publicité et dans l'url source de l'image nous mettons notre lien de validation

{{ :ctf:2016:inshack:moneyzgone3.png?nolink |}}

Quelques minutes plus tard nous découvrons la bonne surprise 

{{ :ctf:2016:inshack:moneyzgone4.png?nolink |}}

FLAG : FLAG{Tricky isn't it ? CSRF are one of the most current vuln in web apps ;)}