问题标签 [brakeman]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 为什么我的视图被标记为 XSS 漏洞?
我有show一条显示我文章内容的路线
控制器:
看法:
运行 Brakeman 时,它会将上述内容标记为潜在的跨站点脚本 (XSS) 漏洞
我试图弄清楚 XSS 到底是什么,是什么让这个漏洞变得脆弱?params[:id]如果有人在路由中的字段(例如/articles/BAD_INPUT)中注入了一些恶意文本或输入,则Article.find()不会找到该文章并引发错误
视图呈现的唯一方法Article是找到有效记录,对吗?用户还能如何操纵它?
谢谢!
编辑:我绝对应该防止找不到文章并引发错误的情况,但我认为这更像是一个糟糕的设计而不是安全漏洞
ruby-on-rails - 当需要重定向到外部域时,如何防止 Brakeman 'unprotected redirect' 警告?
Rails 应用程序中的模型有一个 url 列,用户可以在其中输入外部站点的地址。
网址显示在页面上。单击时,除了路由到该 url 之外,我还需要在应用程序中执行一些操作。所以我定义了一个控制器动作如下
并且在视图中
刹车手(如预期的那样)发出警告
通常对此的解决方案是添加only_path: true到重定向并且只允许在当前应用程序中进行重定向。但在这种情况下,所需的行为是导航到外部站点。
我的问题
- 我是否应该采取任何步骤来确保无法从 Object.url 列输入和激活恶意代码(或者换句话说,我的点击控制器操作是归档所需应用内操作和导航的最佳方式)?
- 如果这是正确的方法,有没有办法让 Brakeman 安静下来,以便不再报告这个特定问题?
ruby-on-rails - 制动器扫描控制器和视图
我有一个控制器sample_controller.rb和相关的视图app/views/sample。
现在我想使用brakeman 扫描安全问题。我的第一种方法是单独进行扫描,如下所示:
第二种方法是在同一命令中扫描控制器和视图,如下所示:
问题是我在这两种方法中得到了不同的结果。
这是正确的方法。请告诉我。
ruby-on-rails - 如何处理 Brakeman 报告的 Rails 应用程序中的命令注入
我的项目的某个库中有以下代码,该代码在 Sideqik Worker 上执行:
当我在项目上运行 Brakeman (3.2.1) 时,我收到以下安全警告:
它突出了这部分,我猜这会导致警告:
警告还链接到此页面以获取有关警告的更多信息,但我没有找到处理它的方法:http: //brakemanscanner.org/docs/warning_types/command_injection/
我试图在查看其他帖子和页面时找到解决方案,但没有运气,因此这篇文章。
我应该如何处理这种情况来修复 Brakeman 报告的这个潜在漏洞?
提前致谢!
ruby-on-rails - Brakeman:质量分配不受使用 attr_accessible 的限制
我完全理解“批量分配”的含义,如果模型不包含任何字段attr_accessible,它会在标题中给出警告。
现在我有这种情况。我有一个只有 2 列的模型,user_id并且company_id. 我确保在实例化此模型的实例时,我没有使用质量分配。相反,我要去new + save。
attr_accessible但是由于刹车手在这个模型中没有找到任何东西,我在模型中添加了以下行:
attr_accessible :user_id, :company_id
发布上面的代码,前一个问题得到了修复,但刹车手又提出了一个警告:潜在危险属性可用于质量分配。
那么在这种情况下我该怎么办。我不想得到任何与 Mass Assignment 相关的问题。
谢谢。
ruby-on-rails-4 - Rails:Brakeman gem 不受保护的质量分配问题
我正在使用brakeman gem 来查找我的rails 应用程序代码中的安全问题。
刹车手给了我不受保护的批量分配安全问题。在导致此问题的行下方。
但是我在这里没有做任何大规模分配,那么为什么刹车手给我提供了大规模分配安全问题。
谢谢,桑杰萨伦克
ruby-on-rails - 尽管位于根文件夹中,如何提供 Rails 应用程序的路径?
我正在尝试在我的代码上运行 Brakeman 以识别任何安全漏洞。
我已经安装了 gem,并且在我的 Rails 4.2.4 应用程序的根文件夹中。
但是,当我尝试使用以下命令运行 Brakeman 时:
我不断在终端中收到以下消息:
请提供 Rails 应用程序的路径。
这是如何在 Rails 环境中为这个 gem 完成的?
ruby-on-rails - 如何跳过刹车员扫描过程+ Rails中的具体方法
我brakeman在我的应用程序中使用安全检查。我想跳过一些
误报的方法和 I Mark Methods as Safe,但我想添加一个flagto 方法以在brakeman扫描应用程序时跳过该方法。
例子:
我想添加一个文件,我可以在其中管理需要跳过的标签。
有谁知道我该怎么做?非常感谢您的帮助。
jenkins - Is there any way to set threshold value for brakeman warning in Jenkins
I have integrated brakeman with jenkins. There are lots of warnings and currently I want to skip them all. Build should fail when count goes beyond the threshold value. Currently I am not much familiar with Jenkins and the brakeman. Help would be appreciated.
ruby-on-rails - Brakeman 错误 - 附近未转义的模型属性
我收到很多错误如下
扩展视图
这是我的代码