Algumas requisições que ocorrem no site ao atualizar o perfil de um usuário e carregar a página
Olhando essas requisições mais de perto, podemos ver o cabeçalho e o corpo da requisição
Analisando a requisição feita pelo botão de adicionar amigo, temos:
Ou seja, uma requisição GET para essa rota (removendo os tokens de segurança) faria a adição da Alice como amiga. Como nesse caso, gostaríamos que, quando Alice entrar na página, ela nos adicione como amigo, devemos substituir o GUID 56 pelo nosso, que pode ser descoberto ao editar o perfil do nosso usuário.
Dessa forma, o código da página fica:
Para validar que o comportamento está correto, entrei na conta da Alice, para simular o que aconteceria caso ela entrasse no link.
Ao clicar na página do atacante, o esperado não aconteceu. Provavelmente por que eu uso a versão mais recente do Firefox, como dito na documentação.
Ainda é possível testar a execução da ideia, jogando a URL alvo no navegador (que também fará um GET request) para testar se isso funciona mesmo.