OWASP ZAP設定の修正

[nanasess]

概要(Overview・Refs Issue)

OWASP ZAP の設定に以下を追加

• アンチCSRFトークンを追加
• グローバルアラートフィルターを追加
• 使用するスキャンポリシーのみロードするよう修正
  • Default policy の SOAP Action Spoofing 及び SOAP XML インジェクションを無効化

テスト（Test)

OWASP ZAP で動作するのを確認

相談（Discussion）

マイナーバージョン互換性保持のための制限事項チェックリスト

• 既存機能の仕様変更はありません
• フックポイントの呼び出しタイミングの変更はありません
• フックポイントのパラメータの削除・データ型の変更はありません
• twigファイルに渡しているパラメータの削除・データ型の変更はありません
• Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
• 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

• 動作確認
• コードレビュー
• E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
• 互換性が保持されているか
• セキュリティ上の問題がないか
  • 権限を超えた操作が可能にならないか
  • 不要なファイルアップロードがないか
  • 外部へ公開されるファイルや機能の追加ではないか
  • テンプレートでのエスケープ漏れがないか

[chihiro-adachi]

@nanasess
ありがとうございます。マージしました。