문제 설명
여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.
CSRF 취약점을 이용해 플래그를 획득하세요.
위코드를 보면 비밀번호를 바꿀 수 있는 함수가 정의되어 있는 것을 볼 수 있다.
하지만 위코드를 보면 frame, script, on이 필터링 되어 걸러진 다는 걸 확인할 수 있었다.
그러므로 flag페이지에서 필터링 되지 않은 img src를 이용하여 admin password를 바꿔줄 것 이다.
flag에 들어가 위코드를 입력하여 passworld를 admin으로 바꿔주었다.
이제 admin으로 로그인을 해주면 flag를 찾을 수 있다.