問題タブ [zap]

Grails アプリケーションに CSRF Guard を適用しました。ただし、私のログイン ページには、jquery-1.10.2.min.js ライブラリのインポートがあります。

しかし、OWASP Zap を実行してアプリケーションをスキャンすると、次のようなアラートが表示され続けます: Anti CSRF Tokens Scanner on the URL: http://localhost:8080/MyApp/js/jquery-1.10.min.js

CSRF がこの URL を無視して保護済みとしてマークする方法はありますか、またはこれを無視するか、OWASP Zap スキャンに渡す他の方法はありますか。

ありがとう！

実は私はパイソンを知りません。zap を jenkins と統合するために、私はよくググりました。しかし、私は有用なものを見つけることができませんでした。
これは私が見つけたリンクです

私は手順に従いました..しかし、pythonスクリプトを実行している間。

トレースバック (最新の呼び出しが最後):
ファイル "zap-python-script.py"、15 行目、zap.urlopen(target)
ファイル "/usr/lib/python2.6/site-packages/python_owasp_zap_v2.4-0.0. 2-py2.6.egg/zapv2/ init .py"、116 行目、urlopen return urllib.urlopen(*args, **kwargs).read()
ファイル "/usr/lib64/python2.6/urllib.py "、86 行目、urlopen return opener.open(url)
ファイル "/usr/lib64/python2.6/urllib.py"、207 行目、open return getattr(self, name)(url)
ファイル "/usr/ lib64/python2.6/urllib.py"、open_httph.endheaders()
ファイルの 346 行目 "/usr/lib64/python2.6/httplib.py"、endheadersself._send_output()
ファイルの 908 行目 "/usr/ lib64/python2.6/httplib.py」、780行目、 _send_outputself.send(msg) で
ファイル "/usr/lib64/python2.6/httplib.py"、739 行、sendself.connect()
ファイル "/usr/lib64/python2.6/httplib.py"、720 行、connectself.timeout)
ファイル「/usr/lib64/python2.6/socket.py」、567 行目、create_connectionraise エラー、メッセージ

IOError: [Errno ソケット エラー] [Errno 111] 接続が拒否されました

このエラーが発生しています。ここでtarget = http://10.200.35.11:7006/myapplicationurl

このエラーを解決する解決策を提供するか、ZAP とジェンキンスを統合する方法を提案してください。

Python コード

これについて教えてください...

Test .net MVC アプリケーション用に ZAP セキュリティ ツールを実行しましたが、ZAP ツールがスクリプトを実行するのに時間がかかりすぎて、ツールがうまく応答しないことがあります。zap のように正確な結果が得られる他のツールはありますか?

ありがとう。

ZAP のアクティブスキャン機能にバックアップ ファイルの自動検索が含まれているかどうかを判断できないようです。

ZAP の現在のヘルプには、そのような機能に関する広告はありません:
https://github.com/zaproxy/zap-core-help/wiki/HelpAddonsAscanrulesAscanrules

3 か月前に更新された Alpha 開発ルールにも言及されていません
。zaproxy/zap-extensions/tree/alpha/src/org/zaproxy/zap/extension/ascanrulesAlpha

それでも、バックアップ ファイルのスキャンは 2014 年に含まれているように見えたので、今日含まれていない理由がわかりません:
https://groups.google.com/forum/#!topic/zaproxy-develop/poF_OU_4kfs

--
バックアップ ファイルのスキャンは ZAP にバンドルされていますか? はいの場合、どのように？
前もってありがとう、
イオニ

このビデオで説明されているように、認証とユーザーを構成しました。

https://www.youtube.com/watch?v=cR4gw-cPZOA

ただし、実際にはこれらの資格情報を使用していないようです (ただし、ユーザー「ZAP」を使用した認証フォームへの投稿が多数見られますが、他のさまざまな一見定型入力が表示されます)、[攻撃] -> [アクティブスキャン] を実行すると、わかりませんそれを実現する方法。

Grails アプリケーションがあり、現在 OWASP ZAP セキュリティ スキャンを行っています。アンチ CSRF トークン スキャナー アラートがいくつか発生しましたが、これは、いくつかの URL にパラメーターで見られるように既にトークンが含まれていることを考えると奇妙です。CSRF ガード (csrfguard-3.1.0) を使用してこれらを修正しましたが、スキャン後もこれらが表示されているようです。それらをなくすために行う必要がある構成がいくつかありますか。OWASP ZAP の現在のバージョンは 2.4.1 です。

私はしばらくの間 ZAP を使用しており、その基本的な機能に精通しています。

現在、次の問題に直面しています: ログインページ (POST リクエスト) が EMPTY コンテンツを含む 302 レスポンスを生成する Web アプリケーションを使用しています。つまり、ログインまたはログアウトインジケーター。

ログインページまたはホームページ（ユーザーがログインした後）からログイン/ログアウトインジケーターに正規表現を使用しようとしましたが、これは問題を引き起こします。

1-ZAP ユーザーがログインしていないことを検出します (たとえば、ログイン インジケーター文字列が存在しないため) 2-ZAP は、フォームベース認証としてフラグを立てた POST 要求を自動的に送信します 3-POST 要求は、HTTP 302 を返します空の本文 4-ZAP が HTTP 302 本文でログイン インジケータもログアウト インジケータも見つからないため、ログイン ページに戻るため、自動ログインは機能しません。

このシナリオではどうすればよいですか? 前述したように、他のプロジェクト/アプリケーションで数秒以内に ZAP 自動ログインを使用することに成功しましたが、この HTTP 302 と空の応答本文が問題を引き起こしています。

アドバイス？