CSRF和OWASP ZAP

Question

我们有一个Grails应用程序，目前正在进行一些OWASP ZAP安全扫描。已经出现了一些Anti CSRF令牌扫描程序警报，考虑到一些URL已经具有令牌，如参数中所示，这很奇怪。我们已经使用了CSRF Guard (csrfguard-3.1.0)来修复这些问题，但在扫描之后，这些问题似乎仍然存在。为了让它们消失，需要进行一些配置吗？OWASP ZAP的当前版本是2.4.1

Answer 1

ZAP包含一个“标准”的反CSRF令牌名称列表。很有可能你使用的那个不在这个列表中。

打开ZAP选项对话框并选择'Anti CSRF Tokens‘屏幕，然后将您的令牌名添加到列表中。

如果您仍然收到这些警报，并且您认为这可能是ZAP问题，那么尝试询问ZAP用户组：http://groups.google.com/group/zaproxy-users

Simon (ZAP项目负责人)