Jetons anti-CSRF

Les jetons anti-CSRF sont des paramètres (pseudo) aléatoires utilisés pour protéger contre les attaques de Cross Site Request Forgery (CSRF).
Cependant ils rendent aussi le travail des testeurs de pénétration plus difficile, surtout si les jetons sont régénérés chaque fois qu'un formulaire est demandé.

ZAP détecte les jetons anti-CSRF purement par nom d'attributs - la liste des noms d'attribut considérés comme jetons anti-CSRF est configurée à l'aide de l' écran Options Anti-,CSRF.
Quand ZAP détecte ces jetons, il enregistre la valeur du jeton et quelle URL a généré le jeton.
Le scanner actif et le Générateur de bruit ont tous les deux des options qui poussent ZAP à régénérer automatiquement les jetons en cas de nécessité.

Voir aussi

     Aperçu de l'interface utilisateurpour un aperçu de l'interface utilisateur
     Fonctionnalitésfournies par ZAP