Grails アプリケーションがあり、現在 OWASP ZAP セキュリティ スキャンを行っています。アンチ CSRF トークン スキャナー アラートがいくつか発生しましたが、これは、いくつかの URL にパラメーターで見られるように既にトークンが含まれていることを考えると奇妙です。CSRF ガード (csrfguard-3.1.0) を使用してこれらを修正しましたが、スキャン後もこれらが表示されているようです。それらをなくすために行う必要がある構成がいくつかありますか。OWASP ZAP の現在のバージョンは 2.4.1 です。
1916 次
1 に答える
3
ZAP には、「標準」のアンチ CSRF トークン名のリストが含まれています。使用しているものがそのリストにない可能性は十分にあります。
ZAP Options ダイアログを開き、「Anti CSRF Tokens」画面を選択し、トークン名をリストに追加します。
それでもアラートが表示され、ZAP の問題である可能性があると思われる場合は、ZAP ユーザー グループ ( http://groups.google.com/group/zaproxy-users ) で質問してみてください。
サイモン (ZAP プロジェクト リーダー)
于 2015-11-17T09:33:49.217 に答える