CSRF 和 OWASP ZAP

Posted

技术标签:

【中文标题】CSRF 和 OWASP ZAP【英文标题】:CSRF and OWASP ZAP 【发布时间】:2016-02-18 08:42:46 【问题描述】:

我们有一个 Grails 应用程序,目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报,考虑到一些 URL 已经在参数中看到了令牌,这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题,但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1

【问题讨论】:

【参考方案1】:

ZAP 包含一个“标准”反 CSRF 令牌名称列表。您使用的很可能不在该列表中。

打开 ZAP 选项对话框并选择“Anti CSRF 令牌”屏幕,然后将您的令牌名称添加到列表中。

如果您仍然收到这些警报并且您认为这可能是 ZAP 问题,请尝试在 ZAP 用户组中提问:http://groups.google.com/group/zaproxy-users

西蒙(ZAP 项目负责人)

【讨论】:

嗨@Psiinon,在扫描之前,我已经在 OWASP ZAP 的选项中包含了 Anti CSRF 令牌名称。 这会发送同名的cookie吗?它似乎不适用于 .Net 应用程序,因为在使用 OWASP Zap 时出现 cookie/令牌不匹配错误

以上是关于CSRF 和 OWASP ZAP的主要内容,如果未能解决你的问题,请参考以下文章

如何在暴力模式下使用 OWASP ZAP 在授权请求中获取 CSRF 令牌

session.getAttribute() 的键为空,在 spring 框架 3.2.4 应用程序上使用 OWASP_CSRFTOKEN

将 REST 服务的 CSRF 令牌作为 Http 响应标头包含在内是不是安全?

CSRF基础教程(靶场实战)

CSRF(跨站请求伪造攻击)漏洞详解

CSRF-Scanner——打造全自动检测CSRF漏洞利器