CSRF 和 OWASP ZAP

【问题标题】：CSRF and OWASP ZAPCSRF 和 OWASP ZAP
【发布时间】：2016-02-18 08:42:46
【问题描述】：

我们有一个 Grails 应用程序，目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报，考虑到一些 URL 已经在参数中看到了令牌，这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题，但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1

【问题讨论】：

标签： grails csrf csrf-protection owasp zap

【解决方案1】：

ZAP 包含一个“标准”反 CSRF 令牌名称列表。您使用的很可能不在该列表中。

打开 ZAP 选项对话框并选择“Anti CSRF 令牌”屏幕，然后将您的令牌名称添加到列表中。

如果您仍然收到这些警报并且您认为这可能是 ZAP 问题，请尝试在 ZAP 用户组中提问：http://groups.google.com/group/zaproxy-users

西蒙（ZAP 项目负责人）

【讨论】：

嗨@Psiinon，在扫描之前，我已经在 OWASP ZAP 的选项中包含了 Anti CSRF 令牌名称。
这会发送同名的cookie吗？它似乎不适用于 .Net 应用程序，因为在使用 OWASP Zap 时出现 cookie/令牌不匹配错误

猜你喜欢

Owasp Zap 和亚马逊 2021-08-26
OWASP 的 ZAP 和 Fuzz 能力 2014-01-17
Owasp Zap 测试 rest api 2023-09-09
OWASP zap python api 认证 1970-01-01
我们如何整合 Owasp ZAP 和 Cypress？ 2020-09-21
OWASP zap-api-scan.py url 排除 2021-07-18
OWASP ZAP - 扫描 url 列表 2018-03-28
OWASP ZAP 无法测试 API 2019-07-18
OWASP ZAP - jython 脚本文档 1970-01-01

相关资源

Bulltoad Zap Regular字体,BulltoadZap-Regular字体下载下载 2023-01-01
VIP和音 VIP和音字体,VIP和音想太多是奢望字体下载下载 2022-12-19
jQuery和CSS3实现网格和列表布局切换动画特效下载 2023-01-21
jQuery和CSS3超酷图片遮罩层和lightbox动画特效下载 2022-12-20
Megamijs javascript时间轴演示点击移动和拖动和跟随效果下载 2023-03-23

最近更新更多

为什么 sizeof(char + char) 返回 4？ 2025-11-21
是否可以使用 while(my($key, $value) ... ) {} 方法按排序顺序遍历哈希？ 2025-11-21
尝试加载 SqlServerSpatial140.dll 时出现错误 2025-11-21
FlatBuffers：使用联合发送多种数据包类型 2025-11-21
由于具体类和接口没有匹配 IEnumerable<T> 和 List<T> 的返回类型而导致的错误 2025-11-21

热门标签

Java Python linux javascript C# Mysql Docker 算法前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库机器学习大数据数据结构微服务 js 人工智能 Go Android 面试程序员 JVM 云原生后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构多线程 Spring Boot 云计算 LeetCode 分布式