gpt4 book ai didi

ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名

转载 作者:数据小太阳 更新时间:2023-10-29 08:36:29 25 4
gpt4 key购买 nike

我想知道 brakeman 是否涵盖/扫描 OWASP 前 10 大安全漏洞:

这是 OWASP 前 10 名:

https://www.owasp.org/index.php/Top_10_2013-Top_10

brakeman 的某处是否有文档显示它涵盖了上述扫描。

我正在使用 ruby​​ on rails 4 和最新版本的 brakeman。

最佳答案

您不能真正根据“覆盖”OWASP Top 10 来定义事物,因为它们是漏洞类别,有时非常广泛。

A1注入(inject)液

Brakeman 检测 SQL 注入(inject)和命令注入(inject)。

A2 损坏的身份验证和 session 管理

Brakeman 警告不安全的基本身份验证使用和糟糕的 session 设置。但是,A2 实际上是关于应用程序如何实现身份验证和 session 管理的。检测这是否做得不好非常困难。

A3 跨站脚本攻击(XSS)

Brakeman 警告 XSS 的许多实例和变体。

A4 不安全的直接对象引用

Brakeman 有一个可选的检查 unscoped finds ,它们是 IDOR 的一个实例。

A5 安全配置错误

这通常是服务器级别的问题,范围非常广泛。 Brakeman 确实检测到何时 SSL verification is turned off for HTTP calls .

A6 敏感数据暴露

A6 主要是关于存储/传输未加密的数据。 Brakeman 没有检测到这一点。

A7 缺少功能级访问控制

Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。

A8 跨站请求伪造 (CSRF)

Brakeman 警告禁用的 CSRF 保护和不安全的配置。

A9 使用具有已知漏洞的组件

Brakeman 只对 Rails 中的 CVE 发出警告。使用 bundler-audit对于其他依赖项。

A10 未经验证的重定向和转发

Brakeman 警告 open redirects .


请记住,OWASP 前 10 名是一个很好的资源,但并不详尽(只是“前 10 名”)。刹车工warning categories会让您了解它检测到的其他问题。

关于ruby-on-rails - ruby on rails brakeman gem 和 owasp 前 10 名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35210138/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com