Les jetons anti-CSRF sont des paramètres (pseudo) aléatoires utilisés pour protéger contre les attaques de Cross Site Request Forgery (CSRF).
Cependant ils rendent aussi le travail des testeurs de pénétration plus difficile, surtout si les jetons sont régénérés chaque fois qu'un formulaire est demandé.
ZAP détecte les jetons anti-CSRF purement par nom d'attributs - la liste des noms d'attribut considérés comme jetons anti-CSRF est configurée à l'aide de l' écran Options Anti-,CSRF.
Quand ZAP détecte ces jetons, il enregistre la valeur du jeton et quelle URL a généré le jeton.
Le scanner actif et le Générateur de bruit ont tous les deux des options qui poussent ZAP à régénérer automatiquement les jetons en cas de nécessité.
Aperçu de l'interface utilisateur | pour un aperçu de l'interface utilisateur | |
Fonctionnalités | fournies par ZAP |