问题标签 [brakeman]

我正在使用 CircleCI 来检查安全问题，这是一个错误，但我不确定是不是。

这是导致脚本错误之一的代码行：

这是一个有效的安全问题吗？有什么方法可以让 Brakeman 安全地接受这些参数吗？我继续阅读，--url-safe-methods但我无法找到使其工作的方法。

将此链接用作指南https://github.com/presidentbeef/brakeman/pull/45

运行bundle exec brakeman -A -q --exit-on-warn，这是错误报告：

我正在使用 Rails 安全扫描器Brakeman，但我想包含我自己的（自定义）安全检查。就像 CheckSQL、CheckCrossSiteScripting
例如：我想确保所有控制器在过滤器之前都有验证身份验证和授权检查。

问题
刹车手中是否有包含我们自己的自定义检查的选项？
如果是怎么办？

我正在使用brakeman gem扫描我的应用程序。

扫描应用程序后，我收到以下警告：

有人可以帮助弄清楚这些警告的含义吗？

我Brakeman gem用来分析我的ruby-on-rails应用程序代码。

它具有以下内容High level security warning：

根据文档，将httponly属性设置为true，而不是false（默认值），在里面config/initializers/session_sotre.rb删除这个警告（它对我有用）。

有人可以解释发生了什么吗？为什么要解决这个问题？将值设置为true会导致问题吗？

我正在努力保护现有的 Rails 3 项目。运行刹车手，我收到许多模型类的警告：“可用于质量分配的潜在危险属性：：example_id”

所有警告都在 _id 列上。

目前的模型如下所示：

除了主要问题，如果 _id 列被删除以满足警告，那么设置这些字段的正确方法是什么？

我最近对我的应用程序运行了Brakeman gem，其中一个警告是关于我的控制器中的重定向行：

在我的控制器的那一行中，我的重定向通知消息包括用户上传的对象的名称：

在这个控制器中，@entity.name是一个由用户定义的表单值，这意味着理论上有人可以尝试将恶意代码放入该字段。但是我不确定使用该参数生成通知是否存在安全风险。

Flash 通知消息在视图中显示如下（在 HAML 中）：

此控制器模式是否存在安全风险，如果是，我如何在保持自定义通知消息的同时防止它成为安全风险？

以下代码段被标记为“可能不受保护的重定向”：

NotificationStatus 是一个 ActiveRecord 模型和belongs_to通知模型。redirect_url是通知字段。

我认为这是误报，但我不确定。在我的应用程序之外可以进行重定向吗？

我将刹车人 rake 任务设置为通过 Jenkins 自动运行，但是由于我已经解决了它发现的初始安全漏洞，因此刹车人现在 99% 的时间都可以正常运行。我不想每次都打开报告才能看到没有问题。我希望它（Jenkins、Brakeman 或其他自定义）在发现新漏洞时通过电子邮件（或其他方式）通知我。

谁能想到这样做的方法？

我想知道刹车手是否覆盖/扫描了 OWASP 十大安全漏洞：

这是 OWASP 前 10 名：

https://www.owasp.org/index.php/Top_10_2013-Top_10

刹车手上的某个地方是否有文档显示它涵盖了上述扫描。

我正在使用 ruby​​ on rails 4 和最新版本的制动器。

我正在使用刹车人（3.5.1）扫描我的导轨代码（4.2.1）。事情似乎很好。但它给出了如下问题：

通过 mime 类型缓存拒绝服务。请升级到 Rails 4.2.5。

现在我了解了什么是拒绝服务，并且 mime 类型在接受 http 请求的标头中。但是 mime 类型缓存如何导致拒绝服务。

有人可以解释这是如何引起的。

谢谢