Buon giorno a tutti,
Leggendo delle guide online, dove viene spiegata la vulnerabilità e il modo per difendersi, sembra che chiunque sia facilmente vulnerabile ad un attacco CSRF, ma quasi mai viene fatta una divisione tra i casi di vero pericolo e quelli di semplice precauzione.

Vorrei capire in che casi c'è da prendere in seria considerazione questo tipo di attacchi.
Requisiti/rflessioni per un attacco CSRF:

1-l'utente vittima deve essere autenticato su un sito, ne segue che l'attaccante deve sapere che quel determinato utente sia utilizzatore di quel determinato sito. (a meno che non si tentino degli attacchi su siti largamente diffusi, ma qui io faccio un discorso per un sito standard con amministrazione)

Supponiamo che il primo requisito sia soddisfatto:
2-l'attaccante deve conoscere la "struttura" delle richieste da inviare quindi il sito da sfruttare deve essere di libero accesso (anche se con login), ne segue che se il sito permette input solo ad un amministratore difficilmente l'attaccante può conoscere la struttura dei dati da inviare e l'indirizzo dello script che li elabora.

3-la vittima deve finire su un sito dell'attaccante. (escludendo attacco XXS)

La mia conclusione è che un sito con sola amministrazione da parte di un admin, e quindi senza input da parte di utenti esterni sia al sicuro da questo tipo di attacco perché mancherebbero i primi due requisiti.
Il vero rischio si ha quando si permette l'amministrazione dei contenuti a più utenti, come in un forum.

Mi piacerebbe sentire anche il vostro parere che probabilmente servirebbe a chiarire meglio, sia a me che ad altri, i rischi di un attacco CSRF.