Outils pour utilisateurs

Outils du site


ctf:2016:inshack:web100_moneyzgone

WEB 100 - Moneyzgone

Le site nous propose de nous inscrire pour accèder aux différents services

Une fois connecté nous pouvons créer nos propres publicités

La publicité doit être cependant validée par un administrateur pour être mise en ligne.

N'ayant pas de profil admin nous ne pouvons pas valider notre publicité. Nous récupérons le chemin de validation. (pour nous cela sera /accept/203)

Après plusieurs tests on remarque que le champ “url source de l'image” est surement sujet aux csrf.

On édite notre publicité et dans l'url source de l'image nous mettons notre lien de validation

Quelques minutes plus tard nous découvrons la bonne surprise

FLAG : FLAG{Tricky isn't it ? CSRF are one of the most current vuln in web apps ;)}

ctf/2016/inshack/web100_moneyzgone.txt · Dernière modification: 2016/07/04 08:39 (modification externe)