Cookie&Session 강의의 내용을 보면, 로그인한 사람이 누구인지 인증하기 위한 용도로 cookie나 session을 이용합니다. session-basic 문제에서는 session으로 로그인한 사람을 판별하고 있습니다.

/index 페이지를 보면 만약 지금 로그인한 계정이 admin일 경우에는 flag를 알려주도록 되어있습니다. 하지만 admin으로 로그인하자니 password를 모르는 상황입니다. 그런데 위에서 session-basic 문제에서는 session으로 로그인한 사람이 누구인지 판별한다고 했었죠?

그렇다면 password를 몰라도 1) admin 계정의 session을 알아내어 2) 현재 사용되는 session을 바꿔치기하면, 서버에서는 admin으로 판별하게 됩니다.

재료들은 가지고 계시다고 하니, 이제 요리를 해보시면 좋을 것 같습니다.