#prng

CSP가 inline script를 막지만 nonce를 Python random()으로 만든다. 응답 헤더로 새는 nonce를 624워드 모아 MT19937 상태를 복원하면 다음 nonce가 예측된다. reporter username의 stored XSS에 예측한 nonce를 박아 admin 봇 브라우저에서 /admin 플래그를 빼냈다.

강의 신청 사이트의 reason 필드가 autoescape false로 그대로 렌더된다. 진짜 벽은 CSP nonce인데, 이 nonce가 16비트 LFSR로 생성되고 매 응답 헤더에 평문으로 샌다. 한 번 새어 나온 nonce로 LFSR을 복원해 다음 값을 예측하고, apply 한 요청 안에서 봇이 페이지를 읽는 타이밍에 맞춰 script nonce를 박아 CSP를 통과시킨 뒤 navigation으로 플래그를 빼냈다.