问题标签 [brakeman]

Mass assignment 是 Rails 的一项功能，它允许应用程序从哈希值创建记录。可能会出现两种不同的质量分配警告。第一个是质量分配实际发生的时间。例子：-

虽然我没有直接使用哈希来映射表中可用的字段。相反，我正在做类似的事情：

或者

为什么这会导致批量分配漏洞？由于我不是盲目地分配哈希值，因此我选择性地只更新了表的少数属性。

对此的一种解决方法是执行以下操作：

但这就像编写不必要的代码一样，因此 Brakeman 不会将此作为问题警告。这实际上是在 4 行而不是单行中做同样的事情。

有人可以让我了解这里的实际问题是什么，或者确认这是一个错误警报，还有什么方法可以防止这个错误警报出现？

我正在使用 ruby​​ 1.8.7、Rails 2.3.2、Brakeman 3.0.5

我在我的应用程序中使用了刹车手来生成扫描报告。它以高置信度生成了许多跨站点脚本安全警告。其中之一是：

在下面显示的控制器方法中，第一行显示上述警告。

我在链接中看到但无法修复。请帮忙。这是控制器代码：

I am running brakeman outside of my Gemfile, so am not using bundler.

If I do gem list, I can see I have the following for brakeman

But if I do brakeman --version, I get

so I am not using the latest version. If I do gem update brakeman or

I get

So how do I run brakeman version 3.3.3?

最近升级到后，brakeman 3.3.5我在两个文件上遇到了类似的异常。一个是app/helpers/profile_mailer，例外是

如果我删除除周围块以外的所有内容，则文件变为

我仍然得到同样的例外。如果我删除文件中的所有内容，则会出现以下异常：

查看stackoverflow，没有为brakeman报告这样的错误，但似乎报告了许多其他应用程序并且与ruby 2.2（我正在运行2.2.1）有关。

该文件的文件权限是

我该如何解决？

我正在尝试对（不幸的是）用 Ruby 1.8.7 编写的代码进行刹车检查。有时，整个构建会中断并吐出以下错误：

regexp buffer overflow While processing

我注意到在 ruby​​ 1.8.7 中，缓冲区似乎约为 5460。我通过运行以下命令发现了这一点

更新：

这个错误是由 ruby​​ 的 StringScanner 类引发的。我做了一些挖掘，发现这里出现了错误：https ://github.com/sj26/ruby-1.9.3-p0/blob/master/ext/strscan/strscan.c#L444 。有谁知道是什么导致了这个错误。而且，为什么这在引入模板后突然失败了？

我收到了来自 Brakeman 的警告。正如他们所说，依赖于用户提供的值的重定向可用于“欺骗”网站或将恶意链接隐藏在看起来无害的 URL 中。如果目的地未经验证，他们还可以允许访问站点的受限区域。

| Confidence | Class | Method | Warning Type | Message | High | DocumentsController | download | Redirect | Possible unprotected redirect near line 46: redirect_to(+Document.find(params[:id]).f

在我的控制器中，我创建了一个方法，该方法download获取文件 URL（存储在 Amazon S3 上的文件和我的数据库中的 URL，感谢 Paperclip）并创建一个document_url持续 3 秒（供用户下载）的 URL（即 ），这要归功于.expiring_url(3)

我一直在尝试通过 Brakeman 的验证，但没有成功。正如您在上面看到的，我尝试检查我的域是否存在于 URL 中，但它没有更改有关 Brakeman 的报告。

知道如何进行吗？

所以我有一个使用的助手ImageMagick和其中的一个方法，它zbar在命令行上强制从图像中提取 QR 数据。图像源必须是参数化的。

brakeman很明显，这里给了我一个command injection警告。使用只会backticks给出相同的警告，虽然system会产生所需的结果，但它会返回true而不是输出。我不想使用 QR 解码包装器/gem 或 Open3。我需要知道我是否可以将图像源作为参数进行清理以避免命令注入，除非使用我提到的两个选项。

我正在开发一个 Rails 项目并使用 Brakeman 作为调试工具。我使用查询从表中获取数据，但在 Brakeman 的测试期间，它指出查询中存在 Sql Injection Possibility。

这是我的查询：

但我不知道这个查询有什么问题，如果它不安全，那么如何防止它被 SQL 注入？

当我使用 Brakeman 的工具扫描我的代码时收到一条警告消息。它指出有对以下查询的Unscoped 调用：

这是实际的错误消息：

但是，当我用以下查询替换上述查询时，就可以了：

我不明白第一个查询有什么问题。

我有使用 oracle 视图/功能的 rails 代码。这是我的代码：

当运行 Brakeman 分析器时，它会警告可能的“sql 注入攻击”

我需要了解这是否是一个有效的警告，如果是，我该如何补救？

由于这是一个函数而不是一个实际的表，我不确定什么是正确的方法。如果它是一个普通的模型，我会遵循这个模式：

Model.where("mycolumn1= ? AND mycolumn2= ?", demo_type_param, demo_tid_param).firs吨