Lab 02 の指摘を受けて、うつろい EC はToken の検証を必須化した。$_POST['csrf_token'] が無いと 403。一見正しい実装。
しかし、サーバ側の Token 管理に新しいバグがある:Token は生成されているが、特定のユーザのセッションに紐付いていない。サーバは「過去に発行した Token のいずれか」が来れば許可してしまう。
つまり攻撃者が自分のアカウントでログインして取得した Token を、被害者の攻撃に再利用できる。