SameSite=None — Cookie enviada en peticiones cross-origin
ASP.NET_SessionId se envía en cada petición a banesconlinempresa.banesco.com, sin importar el origen
Nombre
ASP.NET_SessionId
Dominio
banesconlinempresa.banesco.com
SameSite
None — se envía en TODAS las peticiones cross-site
HttpOnly
FALSE — legible por JavaScript
Token CSRF
NINGUNO — /AcceptTransaction acepta {} vacío
Validación Origin
NINGUNA — sin validación de Origin/Referer
Ataque CSRF — Confirmar transferencia pendiente
La víctima debe tener: (1) sesión activa en BanescOnline, (2) una transferencia pendiente esperando OTP.
Esta página envía POST {} a /AcceptTransaction — la cookie se adjunta automáticamente.
1
Víctima inicia transferencia
→
2
Llega a pantalla de OTP
→
3
Visita esta página de phishing
→
4
POST {} enviado cross-origin
→
5
Transferencia confirmada
[Sistema]Listo. Requiere sesión activa en BanescOnline con transferencia pendiente.
Prueba definitiva mismo origen
Los POST cross-origin con JSON disparan CORS preflight. Para probar definitivamente que el backend no valida OTP,
pegue este comando en la consola del navegador estando en la página de transferencias del banco (mismo origen):