Un ataque de falsificación de solicitud entre sitios solo es posible si existe un tipo particular de vulnerabilidad en el sitio web de destino, por ejemplo. un token de envío de formulario faltante. Si se ha identificado una vulnerabilidad de este tipo, se puede utilizar para atacar a un usuario del sitio web (no al sitio web en sí), lo que requiere un grado de interacción por parte de ese usuario.
El atacante debe hacer que el usuario desencadene la vulnerabilidad CSRF (al igual que usted también tiene que hacer que un usuario active una vulnerabilidad XSS). En un escenario básico, el atacante crea un sitio web propio que configura el ataque CSRF y envía un enlace a la víctima. Si la víctima se enamora de la trampa y visita la página preparada del atacante, sin saberlo, realiza una solicitud al sitio web de destino en el fondo, lo que provoca una acción no autorizada, como el cambio involuntario de su contraseña.
Cada ataque CSRF debe adaptarse al objetivo específico y la vulnerabilidad en particular. No es como un ataque DoS que básicamente puedes ejecutar contra cualquier sistema. También es una vulnerabilidad del lado del cliente que se dirige a un usuario, no al servidor en sí. La noción de un "sitio web que ataca a otro sitio web" no se aplica realmente.