Скажем, тестер безопасности использует прокси-сервер, скажем, Fiddler, и записывает HTTPS-запрос с использованием учетных данных администратора - при повторном запуске всего запроса (включая сеансовые и файлы cookie) тестер безопасности может успешно (перезаписать) запись сделки. Утверждение состоит в том, что это признак уязвимости CSRF.
Что может сделать злоумышленник, чтобы перехватить запрос HTTPS и воспроизвести его? Это эта задача для детей-детей, хорошо финансируемых военных хакерских команд или технологий для путешествий во времени? Действительно ли так легко записывать сеансы SSL пользователей и воспроизводить их до истечения срока действия билетов?
Никакой код в приложении в настоящее время не делает ничего интересного в HTTP GET, поэтому AFAIK, обманывая администратора при нажатии ссылки или загрузке изображения с помощью злонамеренного URL-адреса, не является проблемой.