[英]ruby on rails brakeman gem and owasp top 10
我想知道刹车人是否掩盖/扫描OWASP十大安全漏洞:
这是OWASP的前十名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
刹车器上是否有文件表明它涵盖了上述扫描。
我在Rails 4和最新版的煞车工上使用红宝石。
您无法真正根据“覆盖” OWASP Top 10来定义事物,因为它们是漏洞的类别,有时非常广泛。
A1注射
Brakeman检测SQL注入和命令注入。
A2身份验证和会话管理中断
Brakeman警告有关不安全的基本身份验证使用和错误的会话设置。 但是,A2实际上与应用程序如何实现身份验证和会话管理有关。 检测这是否做得不好是非常困难的。
A3跨站脚本(XSS)
Brakeman警告有关XSS的许多实例和变体。
A4不安全的直接对象引用
Brakeman对非作用域的发现有一个可选的检查,这是IDOR的一个实例。
A5安全配置错误
这通常是服务器级别的问题,范围非常广。 Brakeman会检测HTTP呼叫的SSL验证何时关闭 。
A6敏感数据暴露
A6主要是关于存储/传输未加密的数据。 Brakeman无法检测到这一点。
A7缺少功能级别访问控制
Brakeman无法检测到这一点。 很难猜测什么应该和不应该具有访问控制。
A8跨站请求伪造(CSRF)
Brakeman警告禁用CSRF保护和不安全的配置。
A9使用具有已知漏洞的组件
Brakeman仅警告有关Rails中的CVE。 对其他依赖项使用bundler-audit 。
A10未经验证的重定向和转发
布鲁克曼(Brakeman)警告开放重定向 。
请记住,OWASP Top 10是一个很好的资源,但并不详尽(只是“ Top 10”)。 Brakeman的警告类别将使您对它检测到的其他问题有所了解。
Brakeman-Ruby on Rails-'RatyRate'gem控制器上的远程代码执行(安全警告)
[英]Brakeman - Ruby on Rails - Remote Code Execution (Security Warning) on 'RatyRate' gem controller
Ruby on Rails 3.2.13 - Brakeman - 会话秘密不应包含在版本控制中
[英]Ruby on Rails 3.2.13 - Brakeman - Session secret should not be included in version control
Ruby On Rails-Brakeman:会话cookie应该仅设置为HTTP
[英]Ruby On Rails - Brakeman: Session cookies should be set to HTTP only
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
