Transferir Creditos

Logueado como: alice

Volver al inicio

Nueva Transferencia Balance: $250.000

Sin proteccion CSRF — Un sitio malicioso podria enviar este form.

Destinatario

Monto

Con token CSRF — Solo acepta requests de este formulario.
Token: 4bf5b586580abdeb...

Destinatario

Monto

Historial de transferencias

ID	De	Para	Monto	Estado	Fecha
`#1`	admin	alice	$50.000	completada	12/04 16:00
`#2`	alice	bob	$25.000	completada	12/04 16:00

Pistas del lab

1. Failing Open:

Selecciona "Usuario inexistente (ID: 999)" y envia con el form vulnerable. Respondera "success" aunque el usuario no exista.

2. Stack Trace:

curl -X POST \
  localhost:8082/a10_pagos/transferir.php \
  -d "to_user='; DROP--&amount=100"

3. CSRF:

Crea un HTML con este form y abrilo:

<form action="http://localhost:8082
  /a10_pagos/transferir.php" 
  method="POST">
  <input name="to_user" value="1">
  <input name="amount" value="100">
  <button>Click</button>
</form>

Si tenes sesion activa, transfiere sin tu consentimiento.

Vulnerable

El formulario envia a:

transferir.php

Failing open + stack trace

Seguro

Probar transferir_secure.php

Manejo correcto de excepciones

El modulo de transferencias tiene tres vulnerabilidades:

Failing open: Si algo falla, responde "success" igual
Stack trace: Expone credenciales en errores
CSRF (bonus): No valida origen del request

CSRF es historico (fuera del Top 10) pero pedagogicamente relevante.

# 1. Failing open - enviar user_id invalido
curl -X POST http://localhost:8082/a10_pagos/transferir.php \
  -d "to_user=999&amount=100"
# Responde "success" aunque el usuario no exista

# 2. Stack trace - provocar error de SQL
curl -X POST http://localhost:8082/a10_pagos/transferir.php \
  -d "to_user='; DROP TABLE wallets--&amount=100"
# El stack trace muestra credenciales de la BD

# 3. CSRF - sitio malicioso auto-envia el form:
&lt;form action=".../transferir.php" method="POST"&gt;
  &lt;input name="to_user" value="666"&gt;
  &lt;input name="amount" value="50000"&gt;
&lt;/form&gt;
&lt;script&gt;document.forms[0].submit()&lt;/script&gt;

Herramientas: curl Burp Suite

// 1. Fail closed (no "success" en catch)
// 2. Sin stack trace (log interno, msg generico)
// 3. Token CSRF obligatorio:

if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
    http_response_code(403);
    exit(json_encode(["error" => "CSRF invalid"]));
}

Knight Capital Group (2012)

Una excepcion no manejada en trading algoritmico causo compras/ventas erraticas por 45 minutos. Perdida: $440 millones. La empresa quebro dias despues.