CSRF flaws