WEB 100 - Moneyzgone
Le site nous propose de nous inscrire pour accèder aux différents services
Une fois connecté nous pouvons créer nos propres publicités
La publicité doit être cependant validée par un administrateur pour être mise en ligne.
N'ayant pas de profil admin nous ne pouvons pas valider notre publicité. Nous récupérons le chemin de validation. (pour nous cela sera /accept/203)
Après plusieurs tests on remarque que le champ “url source de l'image” est surement sujet aux csrf.
On édite notre publicité et dans l'url source de l'image nous mettons notre lien de validation
Quelques minutes plus tard nous découvrons la bonne surprise
FLAG : FLAG{Tricky isn't it ? CSRF are one of the most current vuln in web apps ;)}