CSRF where token validation depends on request method

# CSRF where token validation depends on request method * Yêu cầu vẫn tiếp tục là thực hiện tấn công CSRF để đổi email của user khác. Chúng ta sẽ login vào account được cấp và đổi thử email. ![Capture01](https://hackmd.io/_uploads/Skbby4S_T.png) ![Capture02](https://hackmd.io/_uploads/HJGbyVHda.png) * Vào Burp Suite, tìm request `POST /my-account/change-email` và dùng CSRF PoC generator để tạo CSRF HTML với email khác với email của account chúng ta. ![Capture03](https://hackmd.io/_uploads/HyZZ14rO6.png) ![Capture04](https://hackmd.io/_uploads/BJb-kNHdT.png) * Đưa HTML vào exploit server và Deliver exploit to victim. Kết quả không thành công. ![Capture05](https://hackmd.io/_uploads/B1-W14ru6.png) * Chúng ta sẽ đổi request method từ `POST` thành `GET` và tạo lại CSRF HTML. Copy lại đoạn HTML đó vào exploit server và gửi lại cho nạn nhân. ![Capture06](https://hackmd.io/_uploads/ryxWZ14Hda.png) ![Capture07](https://hackmd.io/_uploads/B1--1EH_p.png) * Đổi email thành công. Hoàn thành bài lab. ![Capture08](https://hackmd.io/_uploads/rybWJEBdT.png)