Anti CSRF tokenがinputとかで実装されている場合、tokenが衝突するまでループしてしまう。

[y0d3n]

Bugの概要

csrftokenがinputとかで実装されている場合、valueが変わるたびに違うページ判定になってしまう。

Bugを再現する手順

OWASP ZAP WAVE > Active vulnerabilities > Cross Site Scriptting > XSS in a form parameter with an anti CSRF token

CrawlのURLに http://192.168.56.101/zapwave/active/xss/xss-index.jsp

期待される動作

シュッと終わってほしい。

補足説明

token系の例外処理を追加すればよさそう。
scanでcsrfの対策をするのも面倒なので、「指定した名前をcrawl時に無視する」だけにしておきたい。
ちゃんとした機能ではないので、debugオプションとして用意すればよさそう。

[y0d3n]

除外機能を作るのは確定として、messagesがn個以上になったら強制的に次に行かせるとかしても良いかも？(ありがた迷惑機能な気もするので要件等)

[y0d3n]

issue見返して思ったけど、「除外機能」として #74 と統合してもよさそう？