4.8　总结

CSRF漏洞代表了另一种攻击向量，攻击者甚至可以在目标对象不知情也没有执行任何操作时就完成了攻击行为。找出CSRF漏洞需要一些独创性以及愿意尝试测试网站上所有功能的意愿。

通常情况下，应用程序框架，例如Ruby On Rails，越来越多地保护Web表单的POST请求，但是却没有保护GET请求。因此，要时刻注意任何修改服务器端用户数据（就像断开Twitter账号的连接一样）的GET HTTP请求。另外，尽管我没有涉及这样一个例子，如果你发现一个网站正在使用POST请求发送CSRF令牌时，你可以试着修改CSRF令牌值或者将其完全删除以确保服务能够正常验证令牌的存在性。当然，你需要将发现的漏洞提交给网站，以便修补。