我们有一个 Grails 应用程序,目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报,考虑到一些 URL 已经在参数中看到了令牌,这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题,但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1
问问题
1916 次
1 回答
3
ZAP 包含一个“标准”反 CSRF 令牌名称列表。您使用的很可能不在该列表中。
打开 ZAP 选项对话框并选择“Anti CSRF 令牌”屏幕,然后将您的令牌名称添加到列表中。
如果您仍然收到这些警报并且您认为这可能是 ZAP 问题,请尝试在 ZAP 用户组上提问:http ://groups.google.com/group/zaproxy-users
西蒙(ZAP 项目负责人)
于 2015-11-17T09:33:49.217 回答