Web - Client
CSRF Protection 0
Hello,
Je travaille depuis plusieurs jours sur ce sujet et sans succès. Je poste aujourd’hui car je pense avoir épuisé toutes mes idées. J’ai un script injecté qui exécute bien une requête POST vers la page en question.
Pour faciliter le debug je transmets la réponse de ma requête xhr vers postb.in (cf. PJ). Comme le montre l’image en PJ, le résultat de la requête POST montre que l’administrateur n’est pas connecté et avec le message "You’re not admin".
Infos :
– mon payload est un objet de type FormData
– la requête est envoyée sans Header (si j’ajoute un Content-Type, je n’ai plus de retour sur postb)
– l’injection est fait via : img src x onerror=...
Je reste disponible pour une discussion privée pour transmettre mon code si besoin et vous remercie d’avance pour votre aide.
capture-10.jpg (JPEG, 102.5 ko)