Wiki sécurité informatique

Outils pour utilisateurs

Outils du site

Piste: web100_moneyzgone
ctf:2016:inshack:web100_moneyzgone

WEB 100 - Moneyzgone

Le site nous propose de nous inscrire pour accèder aux différents services

Une fois connecté nous pouvons créer nos propres publicités

La publicité doit être cependant validée par un administrateur pour être mise en ligne.

N'ayant pas de profil admin nous ne pouvons pas valider notre publicité. Nous récupérons le chemin de validation. (pour nous cela sera /accept/203)

Après plusieurs tests on remarque que le champ “url source de l'image” est surement sujet aux csrf.

On édite notre publicité et dans l'url source de l'image nous mettons notre lien de validation

Quelques minutes plus tard nous découvrons la bonne surprise

FLAG : FLAG{Tricky isn't it ? CSRF are one of the most current vuln in web apps ;)}

ctf/2016/inshack/web100_moneyzgone.txt · Dernière modification: 2016/07/04 08:39 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki