У нас есть приложение Grails, и в настоящее время мы выполняем проверку безопасности OWASP ZAP. Были обнаружены предупреждения Anti CSRF Tokens Scanner, которые выглядят странно, учитывая, что некоторые из URL-адресов имеют маркер, уже показанный в параметрах. Мы уже использовали CSRF Guard (csrfguard-3.1.0), чтобы исправить это, но кажется, что они все еще появляются после сканирования. Существуют ли какие-то конфигурации, которые необходимо выполнить, чтобы они ушли. Текущая версия OWASP ZAP - 2.4.1CSRF и OWASP ZAP
0
A
ответ
2
ZAP содержит список «стандартных» имен маркеров CSRF. Вполне возможно, что тот, который вы используете, не входит в этот список.
Откройте диалоговое окно «Параметры ZAP» и выберите экран «Анти-CSRF токены», а затем добавьте его имя в список.
Если вы все еще получаете эти оповещения, и вы думаете, что это может быть ZAP проблема, то попробуйте спросить на ZAP пользователя Группа: http://groups.google.com/group/zaproxy-users
Саймон (ZAP Project Lead)
Смежные вопросы
- 1. OWASP ZAP Proxy freezes
- 2. OWASP ZAP - документация сценария jython
- 3. Пассивное сканирование в OWASP ZAP
- 4. Настройка - OWASP ZAP Автоматизированное сканирование
- 5. Основная авторизация в OWASP ZAP
- 6. Аутентификация в OWASP ZAP 2.4.2 OSX
- 7. OWASP Zap Fuzz параметр изменен javascript
- 8. OWASP ZAP - как «доказать» ложные срабатывания?
- 9. OWASP ZAP python API ошибка запуска сценария
- 10. OWASP ZAP: активный сканер в интеграции Continuos
- 11. Использование OWASP ZAP за корпоративным прокси
- 12. OWASP ZAP - список сообщений об ошибках
- 13. OWASP ZAP Аутентификация - не может остановить ее с помощью zap/zap
- 14. Как получить токен CSRF по запросу авторизации с OWASP ZAP в режиме принудительной работы
- 15. Как использовать OWASP ZAP для атаки MiTM на Android?
- 16. Возможно ли использовать OWASP ZAP перед веб-сервером?
- 17. OWASP Zap Исключить в прокси-сервер все, кроме заданного URL
- 18. OWASP ZAP Connection отказано: connect (502 - Bad Gateway)
- 19. Как экспортировать отчет OWASP ZAP Spider в Excel?
- 20. OWASP ZAP Application Security для сети серверов приложений
- 21. Может ли OWASP ZAP выполняться на защищенном веб-сайте?
- 22. OWASP ZAP. Как использовать cookie для сканирования веб-сайта?
- 23. Конкуренция OWASP ZAP JVM с одинаковыми портами селеновой сетки
- 24. Как сделать тестирование безопасности на AngularJS с использованием OWASP ZAP
- 25. Можем ли мы интегрировать другие инструменты (OWASP ZAP) в Nightwatch.js
- 26. ZAP сценариста ошибка синхронизации
- 27. Параметры протранслятора и прокси-сервера ZAP
- 28. OWASP ZAP доля контекста между средами и изменением базы адресов Ури
- 29. Может ли Owasp Zap использоваться для проксирования всего трафика http и https через соединение HTTPS?
- 30. Owasp ZAP не выполняет аутентификацию во время активного сканирования с использованием «Form-Based-Authentication» на проекте python
Привет @Psiinon, я уже включали Анти-CSRF Имя маркера в опциях OWASP ZAP до сканирования. – marvinv