CSRF и OWASP ZAP

Question

У нас есть приложение Grails, и в настоящее время мы выполняем проверку безопасности OWASP ZAP. Были обнаружены предупреждения Anti CSRF Tokens Scanner, которые выглядят странно, учитывая, что некоторые из URL-адресов имеют маркер, уже показанный в параметрах. Мы уже использовали CSRF Guard (csrfguard-3.1.0), чтобы исправить это, но кажется, что они все еще появляются после сканирования. Существуют ли какие-то конфигурации, которые необходимо выполнить, чтобы они ушли. Текущая версия OWASP ZAP - 2.4.1

Answer 1

ZAP содержит список «стандартных» имен маркеров CSRF. Вполне возможно, что тот, который вы используете, не входит в этот список.

Откройте диалоговое окно «Параметры ZAP» и выберите экран «Анти-CSRF токены», а затем добавьте его имя в список.

Если вы все еще получаете эти оповещения, и вы думаете, что это может быть ZAP проблема, то попробуйте спросить на ZAP пользователя Группа: http://groups.google.com/group/zaproxy-users

Саймон (ZAP Project Lead)