ruby 在 rails brakeman gem 和 owasp 前 10
ruby on rails brakeman gem and owasp top 10
我想知道 brakeman covers/scans 是否针对 OWASP 前 10 个安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
brakeman 的某处是否有文档显示它涵盖了上述扫描。
我在 rails 4 和最新版本的 brakeman 上使用 ruby。
您不能真正根据 "covering" OWASP 前 10 名来定义事物,因为它们是漏洞类别,有时非常广泛。
A1注射
Brakeman 检测到 SQL 注入和命令注入。
A2 损坏的身份验证和会话管理
Brakeman 对不安全的 Basic Auth 使用和糟糕的会话设置发出警告。但是,A2 实际上是关于应用程序如何实现身份验证和会话管理的。检测这是否做得不好非常困难。
A3 跨站脚本攻击(XSS)
Brakeman 对 XSS 的许多实例和变体发出警告。
A4 不安全的直接对象引用
Brakeman 有一个可选的检查 unscoped finds,这是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,范围非常广泛。 Brakeman 确实检测到 SSL verification is turned off for HTTP calls.
A6 敏感数据暴露
A6 主要是关于 storing/transmitting 未加密的数据。 Brakeman 没有检测到这一点。
A7 缺少功能级别访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 警告禁用的 CSRF 保护和不安全的配置。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。对其他依赖项使用 bundler-audit。
A10 无效的重定向和转发
Brakeman 警告 open redirects。
请记住,OWASP Top 10 是一个很好的资源,但并不详尽(只有 "Top 10")。 Brakeman 的 warning categories 会让您了解它检测到的其他问题。
我想知道 brakeman covers/scans 是否针对 OWASP 前 10 个安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
brakeman 的某处是否有文档显示它涵盖了上述扫描。
我在 rails 4 和最新版本的 brakeman 上使用 ruby。
您不能真正根据 "covering" OWASP 前 10 名来定义事物,因为它们是漏洞类别,有时非常广泛。
A1注射
Brakeman 检测到 SQL 注入和命令注入。
A2 损坏的身份验证和会话管理
Brakeman 对不安全的 Basic Auth 使用和糟糕的会话设置发出警告。但是,A2 实际上是关于应用程序如何实现身份验证和会话管理的。检测这是否做得不好非常困难。
A3 跨站脚本攻击(XSS)
Brakeman 对 XSS 的许多实例和变体发出警告。
A4 不安全的直接对象引用
Brakeman 有一个可选的检查 unscoped finds,这是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,范围非常广泛。 Brakeman 确实检测到 SSL verification is turned off for HTTP calls.
A6 敏感数据暴露
A6 主要是关于 storing/transmitting 未加密的数据。 Brakeman 没有检测到这一点。
A7 缺少功能级别访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 警告禁用的 CSRF 保护和不安全的配置。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。对其他依赖项使用 bundler-audit。
A10 无效的重定向和转发
Brakeman 警告 open redirects。
请记住,OWASP Top 10 是一个很好的资源,但并不详尽(只有 "Top 10")。 Brakeman 的 warning categories 会让您了解它检测到的其他问题。