- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
brakeman 的某处是否有文档显示它涵盖了上述扫描。
我正在使用 ruby on rails 4 和最新版本的 brakeman。
最佳答案
您不能真正根据“覆盖”OWASP Top 10 来定义事物,因为它们是漏洞类别,有时非常广泛。
A1注入(inject)液
Brakeman 检测 SQL 注入(inject)和命令注入(inject)。
A2 损坏的身份验证和 session 管理
Brakeman 警告不安全的基本身份验证使用和糟糕的 session 设置。但是,A2 实际上是关于应用程序如何实现身份验证和 session 管理的。检测这是否做得不好非常困难。
A3 跨站脚本攻击(XSS)
Brakeman 警告 XSS 的许多实例和变体。
A4 不安全的直接对象引用
Brakeman 有一个可选的检查 unscoped finds ,它们是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,范围非常广泛。 Brakeman 确实检测到何时 SSL verification is turned off for HTTP calls .
A6 敏感数据暴露
A6 主要是关于存储/传输未加密的数据。 Brakeman 没有检测到这一点。
A7 缺少功能级访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 警告禁用的 CSRF 保护和不安全的配置。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。使用 bundler-audit对于其他依赖项。
A10 未经验证的重定向和转发
Brakeman 警告 open redirects .
请记住,OWASP 前 10 名是一个很好的资源,但并不详尽(只是“前 10 名”)。刹车工warning categories会让您了解它检测到的其他问题。
关于ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35210138/
我有代码。users_controller.rb def show @user = User.find_by id: params[:id] @microposts = @user
我将文件名设置为“abc_1.pdf”,其中“1”是模型属性的值。但是 brakeman 扫描仪将此视为安全问题。我需要通过引用具有模型属性的文件名来跟踪文件。能否请您告诉我,解决此安全问题的正确方法
我收到很多错误如下 Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name
我正在尝试为我的 Rails 项目配置 Brakeman,我希望它忽略某些目录和文件。我找不到指定要排除的路径的选项。有谁知道这是否可能? 最佳答案 现在支持跳过整个目录。参见 https://www
我正在尝试为我的 Rails 项目配置 Brakeman,我希望它忽略某些目录和文件。我找不到指定要排除的路径的选项。有谁知道这是否可能? 最佳答案 现在支持跳过整个目录。参见 https://www
在我的 Rails 应用程序中,我收到来自 brakeman 的以下安全警告。使用模型属性调用的不安全反射方法常量化。这是我的代码正在执行的操作。 chart_type = Chart.where(
我在 Rails 4.2 的应用程序中使用 brakeman 进行安全扫描。它给出了置信度为高的报告,警告类型为危险发送。以下是我遇到问题的 Controller 方法: class Accounts
我在 Rails 4.2 的应用程序中使用 brakeman 进行安全扫描。它给出了置信度为高的报告,警告类型为危险发送。以下是我遇到问题的 Controller 方法: class Accounts
当我使用 Brakeman 工具扫描我的代码时,我收到一条警告消息。它表明存在对以下查询的Unscoped 调用: @applicant = Applicant.find(params[:id]) 这
Rails 应用程序中的模型有一个 url 列,用户可以在其中输入外部站点的地址。 网址显示在页面上。单击时,除了路由到该 url 之外,我还需要在应用程序中执行一些操作。所以我定义了一个 Contr
我正在将 Brakeman 添加到 Rails 产品中,但遇到了问题。我希望它忽略我的 Gemfile 和 Gemfile.lock 但是当我用像 这样的命令运行它时 brakeman --skip-
我在 Rails 5.2 应用程序中使用以下 gem。 # /Gemfile group :development do gem 'guard' gem 'guard-spring' ge
我刚刚开始使用 Rails,所以我使用 Brakeman了解我的新手代码中的潜在漏洞。它在我的 show.js.erb 文件中抛出关于以下代码的高置信度“动态渲染路径”警告: $('#media-fr
我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞: 这是 OWASP 前 10 名: https://www.owasp.org/index.php/Top_10_2013
我是一名优秀的程序员,十分优秀!