문제 설명CSRF 공격을 통해 사용자 이메일을 변경하면 문제를 해결할 수 있다.문제 풀이wiener 계정으로 로그인을 진행한다. wiener 계정 로그인 성공 후 session을 확인한 결과 SameSite 속성이 지정되지 않았기 때문에 SameSite가 default인 lax로 설정된다. wiener 계정으로 로그인한 상태에서, 이메일 변경을 진행한다. 이메일 변경 요청 패킷을 분석한 결과, CSRF 토큰이 존재하지 않음을 확인하였다. 하지만 session의 SameSite가 lax로 설정되어 있기 때문에 POST로 CSRF 공격을 수행할 수 없다. 이메일 변경 요청을 HTTP GET 메서드로 변경한 후, 요청 파라미터에 _method=POST를 추가하여 전송한 결과, 해당 요청이 정상적으로 처리되는..