Mic*_*eal 4 ruby ruby-on-rails owasp brakeman
我想知道刹车员是否涵盖/扫描 OWASP 前 10 个安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
刹车手上是否有文档显示它涵盖了上述扫描。
我在 rails 4 上使用 ruby 和最新版本的刹车。
您无法真正定义“涵盖”OWASP Top 10 的内容,因为它们是漏洞类别,有时非常广泛。
A1注塑
Brakeman 检测 SQL 注入和命令注入。
A2 破解认证和会话管理
Brakeman 警告不安全的基本身份验证使用和糟糕的会话设置。但是,A2 实际上是关于应用程序如何实现身份验证和会话管理的。检测这是否做得不好是非常困难的。
A3 跨站脚本 (XSS)
Brakeman 警告 XSS 的许多实例和变体。
A4 不安全的直接对象引用
Brakeman 有一个可选的检查unscoped finds,这是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,而且范围非常广泛。Brakeman 会检测何时为 HTTP 调用关闭 SSL 验证。
A6 敏感数据曝光
A6 主要是关于存储/传输未加密的数据。Brakeman 没有检测到这一点。
A7 缺少功能级访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 警告禁用 CSRF 保护和不安全的配置。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。对其他依赖项使用bundler-audit。
A10 未经验证的重定向和转发
Brakeman 警告打开重定向。
请记住,OWASP Top 10 是一个很好的资源,但并不详尽(只是“Top 10”)。Brakeman 的警告类别会让您了解它检测到的其他问题。