实验室：利用XSS执行CSRF

从业者

这个实验室包含一个存储的XSS博客评论功能中的漏洞。要解决实验室，请利用执行漏洞CSRF攻击并更改查看博客文章评论的人的电子邮件地址。

您可以使用以下凭据登录到自己的帐户：维纳：彼得

如果您正在关注我们的建议学习路径，请注意，该实验室需要对我们尚未介绍的主题有所了解。不用担心您是否卡住；一旦您进一步发展知识，请稍后再回来。

使用提供的凭据登录。在您的用户帐户页面上，请注意更新电子邮件地址的功能。
如果您查看页面的来源，您将看到以下信息：
- 您需要发布邮政请求/my-Account/Change-Email，带有称为的参数电子邮件。
- 在一个名为的隐藏输入中有一个抗CSRF令牌令牌。
这意味着您的利用需要加载用户帐户页面，提取CSRF令牌，然后使用令牌更改受害者的电子邮件地址。
在博客评论中提交以下有效载荷：