其他分享
首页 > 其他分享> > appscan 对于csrf漏洞扫描的坑

appscan 对于csrf漏洞扫描的坑

作者:互联网

做了一个外包项目,这个外包项目对安全的要求贼高,交付之前,一共经历了大概三家的安全测试机构,最后一个机构是市政府中心检测机构的,他们使用的安全检测软件是appscan

这个坑是针对前后端分离的项目:

由于csrf这种漏洞主要是针对修改数据的接口才有效果,所以此次正对csrf的限制,没有针对post接口,通过gettoken接口去服务器拿去token存在cookie里,然后从cookie里提取,并放在请求的参数中,每次的token都不一样,来针对这个漏洞的,但是appscan扫描的时候,把get请求也扫描进去了,所以检测中心一直不让过,说要处理这个问题,于是就加了refer的双层验证

标签:针对,扫描,接口,漏洞,csrf,appscan
来源: https://www.cnblogs.com/ceshizhilu/p/12909739.html