ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名-6ren

ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名

转载作者：数据小太阳更新时间：2023-10-29 08:36:29

24

4

我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞:

这是 OWASP 前 10 名:

https://www.owasp.org/index.php/Top_10_2013-Top_10

brakeman 的某处是否有文档显示它涵盖了上述扫描。

我正在使用 ruby on rails 4 和最新版本的 brakeman。

最佳答案

您不能真正根据“覆盖”OWASP Top 10 来定义事物，因为它们是漏洞类别，有时非常广泛。

A1注入(inject)液

Brakeman 检测 SQL 注入(inject)和命令注入(inject)。

A2 损坏的身份验证和 session 管理

Brakeman 警告不安全的基本身份验证使用和糟糕的 session 设置。但是，A2 实际上是关于应用程序如何实现身份验证和 session 管理的。检测这是否做得不好非常困难。

A3 跨站脚本攻击(XSS)

Brakeman 警告 XSS 的许多实例和变体。

A4 不安全的直接对象引用

Brakeman 有一个可选的检查 unscoped finds ，它们是 IDOR 的一个实例。

A5 安全配置错误

这通常是服务器级别的问题，范围非常广泛。 Brakeman 确实检测到何时 SSL verification is turned off for HTTP calls .

A6 敏感数据暴露

A6 主要是关于存储/传输未加密的数据。 Brakeman 没有检测到这一点。

A7 缺少功能级访问控制

Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。

A8 跨站请求伪造 (CSRF)

Brakeman 警告禁用的 CSRF 保护和不安全的配置。

A9 使用具有已知漏洞的组件

Brakeman 只对 Rails 中的 CVE 发出警告。使用 bundler-audit对于其他依赖项。

A10 未经验证的重定向和转发

Brakeman 警告 open redirects .

请记住，OWASP 前 10 名是一个很好的资源，但并不详尽(只是“前 10 名”)。刹车工warning categories会让您了解它检测到的其他问题。

关于ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/35210138/

24

4

0

文章推荐： ruby - Ruby 中的循环崩溃 - 遍历两个范围的组合

文章推荐： ruby - 如何正确地国际化 Sinatra 页面？

ruby-on-rails - Brakeman 警告动态渲染路径
我有代码。users_controller.rb def show @user = User.find_by id: params[:id] @microposts = @user
ruby-on-rails - Brakeman:文件名警告中使用的模型属性
我将文件名设置为“abc_1.pdf”，其中“1”是模型属性的值。但是 brakeman 扫描仪将此视为安全问题。我需要通过引用具有模型属性的文件名来跟踪文件。能否请您告诉我，解决此安全问题的正确方法
ruby-on-rails - Brakeman 错误 - 附近未转义的模型属性
我收到很多错误如下 Unescaped model attribute near line 20: show_errors(Objective.new(objective_params), :name
ruby-on-rails - 如何让 Brakeman 忽略某些路径
我正在尝试为我的 Rails 项目配置 Brakeman，我希望它忽略某些目录和文件。我找不到指定要排除的路径的选项。有谁知道这是否可能？最佳答案现在支持跳过整个目录。参见 https://www
ruby-on-rails - 如何让 Brakeman 忽略某些路径
我正在尝试为我的 Rails 项目配置 Brakeman，我希望它忽略某些目录和文件。我找不到指定要排除的路径的选项。有谁知道这是否可能？最佳答案现在支持跳过整个目录。参见 https://www
ruby-on-rails - 使用模型属性调用的 Brakeman 不安全反射方法常量化
在我的 Rails 应用程序中，我收到来自 brakeman 的以下安全警告。使用模型属性调用的不安全反射方法常量化。这是我的代码正在执行的操作。 chart_type = Chart.where(
ruby-on-rails - 如何修复 brakeman 生成的 rails 中的危险发送安全警告？
我在 Rails 4.2 的应用程序中使用 brakeman 进行安全扫描。它给出了置信度为高的报告，警告类型为危险发送。以下是我遇到问题的 Controller 方法: class Accounts
ruby-on-rails - 如何修复 brakeman 生成的 rails 中的危险发送安全警告？
我在 Rails 4.2 的应用程序中使用 brakeman 进行安全扫描。它给出了置信度为高的报告，警告类型为危险发送。以下是我遇到问题的 Controller 方法: class Accounts
ruby-on-rails - Brakeman 中的这个 "Unscoped call to"警告是什么？
当我使用 Brakeman 工具扫描我的代码时，我收到一条警告消息。它表明存在对以下查询的Unscoped 调用: @applicant = Applicant.find(params[:id]) 这
ruby-on-rails - 需要重定向到外部域时，如何防止 Brakeman 'unprotected redirect' 警告？
Rails 应用程序中的模型有一个 url 列，用户可以在其中输入外部站点的地址。网址显示在页面上。单击时，除了路由到该 url 之外，我还需要在应用程序中执行一些操作。所以我定义了一个 Contr
ruby-on-rails - Brakeman 不使用 --skip-files 参数跳过 Gemfile.lock
我正在将 Brakeman 添加到 Rails 产品中，但遇到了问题。我希望它忽略我的 Gemfile 和 Gemfile.lock 但是当我用像这样的命令运行它时 brakeman --skip-
ruby-on-rails - 为什么 brakeman-guard 提高 "NoMethodError: undefined method ` gsub'"
我在 Rails 5.2 应用程序中使用以下 gem。 # /Gemfile group :development do gem 'guard' gem 'guard-spring' ge
ruby-on-rails - Rails Brakeman 警告 : Dynamic Render Path false alarm?
我刚刚开始使用 Rails，所以我使用 Brakeman了解我的新手代码中的潜在漏洞。它在我的 show.js.erb 文件中抛出关于以下代码的高置信度“动态渲染路径”警告: $('#media-fr
ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名
我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞: 这是 OWASP 前 10 名: https://www.owasp.org/index.php/Top_10_2013

首页

博学

6Ren·AI

商城

ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名