Hello there, ('ω')ノ
WebGOATのCSRFで⓷を選択して。
外部ソースからフォームをトリガーするとか。
そのレスポンスには、数値が含まれているとのことで。
なぜだか、ボタン名が日本になっていますが。
送信ボタンを押して。
別タブに下記が表示されると。
数字が表示されるべきflagが、nullになっていて。
URL部分の文字を見るとfalseとか怪しい文字が。
というわkで、false ⇨ trueに変更してリロードしてみると。
flagに数値が表示されて。
http://192.168.1.54:8000/WebGoat/csrf/basic-get-flag?csrf=true&submit=%E9%80%81%E4%BF%A1
表示された数値を入力するとクリア。
28902
Best regards, (^^ゞ