Mientras desarrolla TeamMentor implementé una serie de servicios web (consumidos a través de jQuery) y ahora en su último impulso para el lanzamiento quiero volver a verificar que no son vulnerables a CSRF.
No hay mucha información buena por ahí y parece que en .NET, * .asmx está protegido de forma predeterminada a CSRF, con una posible excepción de un escenario de vulnerabilidad utilizando Flash (para configurar las cookies)
[información actualizada]
Si desea ver el código, todo está en GitHub, y aquí está el código fuente de la versión con una biblioteca de prueba (OWASP Top 10): enlace (solo descargue el archivo zip y haga clic en 'Start webserver.bat' para tener una copia en ejecución local)
Si solo quieres echarle un vistazo, echa un vistazo a este servidor de prueba: enlace para la GUI principal y enlace para los servicios web En términos de CSRF para ASMX, mi comprensión actual proviene principalmente de este artículo de Scott Guthrie enlace (también se hace referencia aquí AJAX Hacker Attacks - falsificación de solicitudes en sitios cruzados)
Esos artículos implican que los servicios web de asmx no son vulnerables a CSRF debido a la aplicación adicional / json ContentType header.