我想知道刹车手是否覆盖/扫描了 OWASP 十大安全漏洞:
这是 OWASP 前 10 名:
https://www.owasp.org/index.php/Top_10_2013-Top_10
刹车手上的某个地方是否有文档显示它涵盖了上述扫描。
我正在使用 ruby on rails 4 和最新版本的制动器。
问问题
930 次
1 回答
5
你不能真正用“覆盖” OWASP Top 10 来定义事物,因为它们是漏洞的类别,有时非常广泛。
A1 注射液
Brakeman 检测 SQL 注入和命令注入。
A2 损坏的身份验证和会话管理
Brakeman 警告不安全的基本身份验证使用和糟糕的会话设置。然而,A2 实际上是关于应用程序如何实现身份验证和会话管理。检测这是否做得不好是非常困难的。
A3 跨站脚本 (XSS)
Brakeman 就 XSS 的许多实例和变体发出警告。
A4 不安全的直接对象引用
Brakeman 对 unscoped finds有一个可选的检查,它是 IDOR 的一个实例。
A5 安全配置错误
这通常是服务器级别的问题,而且范围非常广泛。当对 HTTP 调用关闭 SSL 验证时,Brakeman 会检测到。
A6 敏感数据暴露
A6 主要是关于存储/传输未加密的数据。Brakeman 没有检测到这一点。
A7 缺少功能级别访问控制
Brakeman 没有检测到这一点。很难猜测什么应该和不应该有访问控制。
A8 跨站请求伪造 (CSRF)
Brakeman 对禁用的 CSRF 保护和不安全的配置发出警告。
A9 使用具有已知漏洞的组件
Brakeman 只对 Rails 中的 CVE 发出警告。对其他依赖项使用bundler-audit。
A10 未经验证的重定向和转发
Brakeman 警告开放重定向。
请记住,OWASP Top 10 是一个很好的资源,但并不详尽(只是“Top 10”)。Brakeman 的警告类别将让您了解它检测到的其他问题。
于 2016-02-05T16:38:02.810 回答