Anti CSRF tokenがinputとかで実装されている場合、tokenが衝突するまでループしてしまう。 #118

y0d3n · 2021-11-24T10:27:38Z

Bugの概要

csrftokenがinputとかで実装されている場合、valueが変わるたびに違うページ判定になってしまう。

OWASP ZAP WAVE > Active vulnerabilities > Cross Site Scriptting > XSS in a form parameter with an anti CSRF token

CrawlのURLに http://192.168.56.101/zapwave/active/xss/xss-index.jsp

シュッと終わってほしい。

token系の例外処理を追加すればよさそう。
scanでcsrfの対策をするのも面倒なので、「指定した名前をcrawl時に無視する」だけにしておきたい。
ちゃんとした機能ではないので、debugオプションとして用意すればよさそう。

The text was updated successfully, but these errors were encountered:

y0d3n · 2021-11-24T14:10:14Z

除外機能を作るのは確定として、messagesがn個以上になったら強制的に次に行かせるとかしても良いかも？(ありがた迷惑機能な気もするので要件等)

y0d3n · 2021-11-24T14:16:20Z

issue見返して思ったけど、「除外機能」として #74 と統合してもよさそう？

y0d3n added bug Something isn't working Crawler Crawler module labels Nov 24, 2021

This was referenced Nov 30, 2021

Feature/url query apply data okodayon #122

Merged

Feature/exclusion url okodayon #123

Merged

y0d3n mentioned this issue Dec 1, 2021

Fix/gather candidates #124

Merged

1 task