Una defensa que los desarrolladores utilizan para protegerse contra un CSRF attack es implementar un CAPTCHA en pasos críticos. Un CAPTCHA asegura que un humano está en el teclado aprobando la actividad. Pero he oído que los CAPTCHA se han roto. Claro, puedo ver cómo los bots pueden usar el software para derrotar a CAPTCHA para publicar spam en foros y demás. Pero no veo ninguna técnica que pueda usarse en un ataque CSRF.
¿Puede alguien explicar exactamente cómo un atacante puede derrotar a un CAPTCHA en un ataque de CSRF?
Para aclarar ... Entiendo cómo funciona CSRF y los diversos métodos de protección contra ellos. Lo que quiero saber es cómo la protección CAPTCHA puede ser derrotada.