Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 8
Logro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
BBLABS.ESLab Resuelto
FácilVDP
// achievement_unlocked
CSRF Account Deletion
CSRF
jun 2026
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice
Writeups de la comunidad
Despliegue
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
https://localhost:1000
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Contenido del Lab
La aplicacion
Chirp es una red social con posts y gestion de cuenta.
La vulnerabilidad
El endpoint DELETE /api/users/account elimina la cuenta del usuario autenticado sin requerir la contrasena actual ni token CSRF.
Cadena de ataque
1. Analizar peticion de eliminar cuenta
2. Notar que no pide contraseña
3. Crear PoC: fetch DELETE con credentials
4. Victima visita la pagina → Cuenta eliminada
Solucion interactiva
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Flag
(cuenta eliminada exitosamente)
Remediacion
- Requerir contrasena actual para eliminar cuenta
- Implementar tokens anti-CSRF
- Confirmacion en dos pasos para acciones destructivas
