FácilVDP20 min
CSRF Account Deletion
Por @gorkaRed social donde el endpoint de eliminacion de cuenta no requiere confirmacion de contrasena y es vulnerable a CSRF, permitiendo borrar la cuenta de cualquier usuario con un solo clic.
166 visitas24 completadosActualizado jun 2026
Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 8
Objetivos
1
Identificar el endpoint DELETE /api/users/account2
Notar que no requiere contrasena actual3
Crear un PoC HTML que envie la peticion DELETE4
Demostrar que un usuario puede ser forzado a eliminar su cuentaLogro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
BBLABS.ESLab Resuelto
FácilVDP
// achievement_unlocked
CSRF Account Deletion
CSRF
jun 2026
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice
Writeups de la comunidad
Despliegue
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
https://localhost:1000
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Contenido del Lab
La aplicacion
Chirp es una red social con posts y gestion de cuenta.
La vulnerabilidad
El endpoint DELETE /api/users/account elimina la cuenta del usuario autenticado sin requerir la contrasena actual ni token CSRF.
Cadena de ataque
1. Analizar peticion de eliminar cuenta
2. Notar que no pide contraseña
3. Crear PoC: fetch DELETE con credentials
4. Victima visita la pagina → Cuenta eliminada
Solucion interactiva
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Flag
(cuenta eliminada exitosamente)
Remediacion
- Requerir contrasena actual para eliminar cuenta
- Implementar tokens anti-CSRF
- Confirmacion en dos pasos para acciones destructivas