- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
brakeman 的某处是否有文档显示它涵盖了上述扫描。
我正在使用 ruby on rails 4 和最新版本的 brakeman。
最佳答案
您不能真正根据“覆盖”OWASP Top 10 来定义事物,因为它们是漏洞类别,有时非常广泛。
A1注入(inject)液
Brakeman 检测 SQL 注入(inject)和命令注入(inject)。
A2 损坏的身份验证和 session 管理
Brakeman 警告不安全的基本身份验证使用和糟糕的 session 设置。但是,A2 实际上是关于应用程序如何实现身份验证和 session 管理的。检测这是否做得不好非常困难。
A3 跨站脚本攻击(XSS)
Brakeman 警告 XSS 的许多实例和变体。
A4 不安全的直接对象引用
Brakeman 有一个可选的检查 unscoped finds ,它们是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,范围非常广泛。 Brakeman 确实检测到何时 SSL verification is turned off for HTTP calls .
A6 敏感数据暴露
A6 主要是关于存储/传输未加密的数据。 Brakeman 没有检测到这一点。
A7 缺少功能级访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 警告禁用的 CSRF 保护和不安全的配置。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。使用 bundler-audit对于其他依赖项。
A10 未经验证的重定向和转发
Brakeman 警告 open redirects .
请记住,OWASP 前 10 名是一个很好的资源,但并不详尽(只是“前 10 名”)。刹车工warning categories会让您了解它检测到的其他问题。
关于ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35210138/
当我输入时: gem env 在我的 Windows 系统上,它会生成以下信息: RubyGems Environment: - RUBYGEMS VERSION: 1.3.5 - RUBY
我记得我用过 gem install rails安装 Rails,但今天当我想安装另一个 gem 时,输入 gem install ruby-recaptcha 它失败了,说: You don't h
我有一个要重命名的 gem 。它是published on RubyGems。我最担心的是人们想要更新它。 我看到了两条路,但是我真的很想听听重命名 gem 的人是如何做到的。 1.把旧的变成一个元包
$ gem install passenger Fetching: passenger-4.0.5.gem (100%) ERROR: While executing gem ... (Gem::F
我刚刚用 gem update mime-types 更新了 mime-types gem . gem list显示 mime-types (1.16)在更新之前。更新后gem list显示 mime
如果我构建了一个私有(private) gem(例如,在我的公司内部托管),然后我想在我正在构建的另一个 gem(不是应用程序!)中重用该 gem,我该怎么做? 我应该在哪里放置我的依赖项并告诉我的新
我正在编写一个具有多个 gem 依赖项的 gem,其中一个依赖于破坏新版本向后兼容性的 gem。这让我开始思考——我不希望我正在构建的 gem 变成“那个 gem”,让人们难以更新他们的应用程序。我也
我目前正在构建一个需要 mysql2 gem 的 RoR 项目。我成功安装了 gem 。因为它出现在我的 gem 列表中。 [root@vc2cmmka035538n simple_cms]# gem
我试图在 XP 上构建 capybara-webkit。我关注了this操作说明。它说要进行捆绑安装: $ cd ruby193\capybara-webkit $ bundle install
是否有可能为 Ruby 提供类似“本地”gem 存储库的东西? 我正在开发一个没有管理员权限的自定义 Linux 发行版。 Ruby 安装在机器上 (v.1.8.7),但显然没有安装“gem”或“bu
我是使用 gems 的新手,所以如果我的事实有误,请原谅我。 我想将 Bundler 从 v1.3.5 更新到最新版本 (v1.5.3),所以我尝试这样做: sudo gem install bund
如何使用 gem install 同时安装多个 gem,同时指定我想要的版本? 例子: gem install akami -v 1.2.0 --ignore-dependencies gem in
我正在尝试在 XP 上构建 capybara-webkit。我关注 this instruction .我说: 8) Clone latest version of capybara-webkit f
我正在尝试设置我自己的私有(private) gem 服务器,它应该为我的 gem 提供服务并显示 rdoc。正如我所读,默认的 gem 服务器应该能够做到这一点。由于我不希望除了我自己的所有 gem
假设我的 gem 是 VideoPlayer。文件夹结构是: VideoPlayer/ /bin vidplay.rb /lib VideoPlayer
如何避免 gem 清理特定错误。我在执行 gem 清理时看到以下错误。 Gem::InstallError: gem-wrappers 未安装在 GEM_HOME 中 gem cleanup Clea
我写了一个 gem elastic-beanstalk这将在 rails 项目文件结构中使用,以及在 rails 目录和文件不可用(无需解压缩等)的独立 CI 环境中使用。即正在运行的 Bamboo
运行“sudo gem list --local”和“gem list --local”给我不同的结果。我的 gem 路径设置为我的主文件夹,并且仅包含来自“gem list --local”的 ge
最初,我发布了 Stack Overflow 问题 Ruby on Rails gems... Re-open models (现已删除)。但我认为这个问题太令人困惑了……我会根据我的发现尝试提出不同
我使用 OS X El Capitan 10.11.6 首先,我在安装 pod 时遇到问题,按照本网站中的步骤进行操作后能够找到问题..终端拼出问题是我安装后的 ruby v 2.2.2当我尝试安
我是一名优秀的程序员,十分优秀!