Se sono ancora connesso utilizzando il browser X, un attacco CSRF può funzionare quando utilizzo un altro browser (predefinito) Y sulla stessa macchina? Supponiamo che il server Web abbia una vulnerabilità CSRF e che nessun controllo dei token nascosti venga eseguito sul server.
No. CSRF funziona utilizzando una sessione già in atto e le sessioni possono esistere solo all'interno dello stesso browser. In altre parole, tutti i browser attuali / principali non condividono le sessioni.
EDIT: come indicato nel commento, è teoricamente possibile utilizzare i cookie flash. IMO, i cookie flash sono malvagi per cominciare però.
Supponendo che la vulnerabilità CSRF esistente sia basata sulla presenza di un cookie di accesso, la risposta semplice è no (nel caso generale).
Browser diversi (ad es. IE / FF / GC / Safari) gestiscono ciascuno i propri cookie e l'accesso a uno non avrà alcun effetto sui cookie per un altro browser.
Tuttavia, ci sono altri difetti CSRF che non sono basati sui cookie, che potrebbero essere rilevanti per altri browser.
Ad esempio, CSRF basato su autenticazione integrata di Windows sarebbe pertinente per IE, anche se si è effettuato il login su FF. O qualsiasi altra gestione di autenticazione / sessione non basata su cookie, incluse sessioni basate su flash, ecc.
Leggi altre domande sui tag cookies web-application attacks csrf