Descripción: Los sitios que tienen más probabilidades de verse afectados por los ataques CSRF son los sitios web comunitarios (redes sociales, correo electrónico, etc.) o sitios que implican transacciones elevadas (bancos, casas de bolsa, servicios de pago de facturas, etc.).
Los ataques CSRF pueden ocurrir incluso si el usuario inició sesión en un sitio web/aplicación web mediante SSL (HTTPS). Si el sitio web permite realizar una función del sitio a través de GET, el riesgo es mucho mayor.
Los ataques CSRF no se pueden prevenir aceptando únicamente solicitudes POST, transacciones de varios pasos, cookies secretas, reescritura de URL, etc. La forma más común de prevenir ataques CSRF es agregar tokens impredecibles a cada solicitud y asociarlos con la sesión del usuario.
Estos tokens deben ser únicos para cada usuario, pero también pueden ser únicos por solicitud. La vulnerabilidad CSRF no se limita a los navegadores. Un atacante puede incrustar secuencias de comandos en un documento de Word, una fuente web RSS, un archivo Flash, una película u otro formato de documento que permita la creación de secuencias de comandos.
Un sitio web puede ser detectado por su vulnerabilidad. Una prueba rápida consistiría en navegar por el sitio web a través de un proxy y registrar las solicitudes realizadas. Si se puede ejecutar la misma función usando la solicitud GET o POST repetidamente, entonces el sitio web o la aplicación web pueden ser vulnerables.