Estoy haciendo pruebas en mi servidor para intentar explotar un CSRF pero no consigo hacerlo.
El escenario es el siguiente:
-Tengo un panel de admin en el que te logueas y se crea una sesion.
-Hay un php para borrar usuarios que se llama del_usuarios.php y se le pasa una id para borrar dicho usuario. En este php se valida la sesion pero no hay ningun token ni nada para evitar un CSRF.
Bien, sabiendo eso he creado un html sencillo con un <img src='dominio1/del_usuarios.php?id=xx'> y lo he colgado en otro dominio diferente.
Estoy logeado como admin en el dominio1, me voy al dominio2 donde esta mi html con CSRF, y al hacer la peticion a del_usuarios.php con una id me dice que no tengo permisos.. vaya que la cookie de la sesion no se pasa!
Alguien ve lo que estoy haciendo mal?