CSRF 和 OWASP ZAP
Posted
技术标签:
【中文标题】CSRF 和 OWASP ZAP【英文标题】:CSRF and OWASP ZAP 【发布时间】:2016-02-18 08:42:46 【问题描述】:我们有一个 Grails 应用程序,目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报,考虑到一些 URL 已经在参数中看到了令牌,这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题,但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1
【问题讨论】:
【参考方案1】:ZAP 包含一个“标准”反 CSRF 令牌名称列表。您使用的很可能不在该列表中。
打开 ZAP 选项对话框并选择“Anti CSRF 令牌”屏幕,然后将您的令牌名称添加到列表中。
如果您仍然收到这些警报并且您认为这可能是 ZAP 问题,请尝试在 ZAP 用户组中提问:http://groups.google.com/group/zaproxy-users
西蒙(ZAP 项目负责人)
【讨论】:
嗨@Psiinon,在扫描之前,我已经在 OWASP ZAP 的选项中包含了 Anti CSRF 令牌名称。 这会发送同名的cookie吗?它似乎不适用于 .Net 应用程序,因为在使用 OWASP Zap 时出现 cookie/令牌不匹配错误以上是关于CSRF 和 OWASP ZAP的主要内容,如果未能解决你的问题,请参考以下文章
如何在暴力模式下使用 OWASP ZAP 在授权请求中获取 CSRF 令牌
session.getAttribute() 的键为空,在 spring 框架 3.2.4 应用程序上使用 OWASP_CSRFTOKEN