OWASP安全扫描规则的详细说明

Question

例如，我在ZAP代理中安装了反CSRF扫描规则，并扫描了一个POST请求，该请求不验证后端的CSRF令牌值。理想情况下，这是CSRF漏洞，但ZAP代理扫描器没有检测到这一点。我想知道我是否正确地做了扫描，但找不到任何地方来验证配置。

有人能帮我吗？

反CSRF规则

Answer 1

首先检查ZAP是否确实提出了POST请求。在调试这类问题时，使用桌面模式总是比使用守护进程模式更容易。因此，在桌面模式下启动ZAP，以与以前相同的方式探索您的应用程序，然后检查POST请求是否位于站点树中。

如果它不在站点树中，那么ZAP就不会攻击它。有效地探索你的应用程序是有效测试它的关键。如果没有找到，那么就有各种各样的选项可供选择，如果是这样的话，我们将涵盖这些选项。