保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Auth
mediumCWE-778A01:2021

Sin Confirmación para Acciones Críticas

Las acciones destructivas o irreversibles (eliminar cuenta, transferir fondos, cambiar email) sin un paso de confirmación son vulnerables a CSRF y clics accidentales.

Cómo Funciona

Un ataque CSRF engaña al navegador de un usuario autenticado para que haga una request a tu app. Sin un paso de confirmación que requiera re-autenticación o un token CSRF, un link malicioso puede eliminar la cuenta del usuario o vaciar su saldo. La confirmación también previene acciones destructivas accidentales.

Código Vulnerable
// MAL: eliminación de cuenta sin confirmación ni re-autenticación
export async function DELETE(req: Request) {
  const { userId } = await getSession(req);
  await db.users.delete({ id: userId }); // un click = cuenta eliminada
  return Response.json({ deleted: true });
}
Código Seguro
// BIEN: requiere re-ingreso de contraseña para acciones destructivas
export async function DELETE(req: Request) {
  const { userId } = await getSession(req);
  const { password } = await req.json();
  const user = await db.users.findById(userId);
  if (!await bcrypt.compare(password, user.passwordHash))
    return Response.json({ error: 'Contraseña incorrecta' }, { status: 403 });
  await db.users.delete({ id: userId });
  return Response.json({ deleted: true });
}

Ejemplo Real

Múltiples apps han tenido vulnerabilidades CSRF de eliminación de cuenta reportadas en HackerOne donde un link malicioso enviado a un usuario autenticado podía desencadenar la eliminación inmediata de la cuenta con una sola request GET.

Cómo Prevenirlo

  • Requiere confirmación de contraseña para eliminación de cuenta, cambios de email y cambios de método de pago
  • Usa POST con tokens CSRF para todas las operaciones que cambien estado — nunca GET para acciones destructivas
  • Agrega un tiempo de espera (por ejemplo, período de gracia de 7 días) para la eliminación de cuenta con un link de cancelación
  • Muestra un modal de confirmación claro con las consecuencias explicadas antes de acciones irreversibles

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Contraseñas

medium

Aceptar cualquier contraseña — incluyendo '123' o 'a' — hace las cuentas de usuarios trivialmente vulnerables a credential stuffing y ataques de fuerza bruta.

CWE-521A07:2021

Sin Rate Limit en Login

medium

Un endpoint de login sin rate limiting puede ser forzado por fuerza bruta miles de veces por segundo hasta encontrar una contraseña válida.

CWE-307A07:2021

Sin MFA/2FA

low

Sin autenticación multifactor, una contraseña robada o adivinada es todo lo que se necesita para comprometer completamente una cuenta.

CWE-308A07:2021

Sin Verificación de Email

medium

Permitir cuentas con email no verificado deja que atacantes se registren con la dirección de email de otra persona, potencialmente bloqueándolos o suplantándolos.

CWE-358A07:2021