Una difesa che gli sviluppatori usano per proteggere contro un attacco CSRF è implementare un CAPTCHA in passaggi critici. Un CAPTCHA garantisce che un essere umano sia sulla tastiera che approva l'attività. Ma ho sentito che i CAPTCHA sono stati infranti. Certo, posso vedere come il software che sconfigge CAPTCHA potrebbe essere usato dai bot per inviare spam ai forum e così via. Ma non vedo alcuna tecnica che possa essere utilizzata in un attacco CSRF.
Qualcuno può spiegare esattamente come un attaccante può sconfiggere un CAPTCHA in un exploit CSRF?
Per chiarire ... Capisco come funziona CSRF e i vari metodi di protezione contro di loro. Quello che voglio sapere è come la protezione CAPTCHA può essere sconfitta.