Описание тега brakeman
Сканер уязвимостей безопасности со статическим анализом с открытым исходным кодом для приложений Ruby on Rails
1
ответ
Возможна ли здесь инъекция SQL?
Я запустил инструмент статического анализа кода (тормозник) в приложении rails, и он сообщил о некоторых уязвимостях SQL-инъекций, которые, как я подозреваю, могут быть ложными срабатываниями. Оскорбительные строки выглядят так: #things_controller.r…
19 авг '13 в 09:49
1
ответ
Есть ли способ установить пороговое значение для предупреждения тормозов в Дженкинс
Я интегрировал brakeman с jenkins, Есть много предупреждений, и в настоящее время я хочу пропустить их все. Сборка должна завершиться неудачей, когда счетчик выходит за пределы threshold значение. В настоящее время я не очень знаком с Jenkins и brak…
16 июл '16 в 14:45
1
ответ
Ruby On Rails - Что означают эти предупреждения о Тормозе?
Я использую brakeman gem для сканирования моего приложения. После сканирования приложения я получаю следующие предупреждения: #Security warnings Method | Warning Type | Message ------------------------------------------------------ show | Unscoped F…
19 авг '15 в 17:42
1
ответ
Безопасный редирект на вложенный ресурс в Rails
Я недавно добавил драгоценный камень Brakeman в свой Gemfile и должен был увидеть, что я должен использовать :only_path => true чтобы сделать его более безопасным. Но я использую вложенный ресурс и не знаю точно, как, вот часть из моего контролле…
06 сен '12 в 19:13
1
ответ
Не экранированный символ без ASCII в сценарии без ASCII-8BIT
У меня есть это регулярное выражение: /\「(?>[^\「\」\\]+|\\{2}|\\.)*\」/ (с # -*- encoding : utf-8 -*- в моем файле), который работает без ошибок в моем приложении. Когда я использую brakeman гем, чтобы проверить мое приложение, он возвращает следую…
26 апр '14 в 10:20
2
ответа
Как заставить Brakeman игнорировать определенные пути
Я пытаюсь настроить Brakeman для своих проектов на Rails и хочу, чтобы он игнорировал определенные каталоги и файлы. Я не могу найти опцию, чтобы указать пути для исключения. Кто-нибудь знает возможно ли это?
04 окт '13 в 19:05
1
ответ
Является ли строка интерполяцией сообщения-уведомления redirect_to угрозой безопасности?
Я недавно запустил драгоценный камень Brakeman против моего приложения, и одно из его предупреждений касалось линии перенаправления в моем контроллере: Confidence: High Warning type: Redirect Message: Possible unprotected redirect near line xx В это…
15 сен '15 в 23:25
1
ответ
Проблемы с безопасностью в Rails, поднятые Brakeman
В моем проекте при использовании драгоценного камня Brakeman возникают следующие проблемы безопасности: 1) В следующем утверждении Unescaped model attribute ошибка возникает CashTransaction.find(session[:transaction_id]).customer.address_1 Я знаю, ч…
17 май '15 в 03:46
1
ответ
Тормозной мастер недостаточно проверяет предупреждение о регулярных выражениях якорей
Я пытаюсь реализовать валидацию в такой модели. validates_format_of :field, with: /[0-9]/, message: 'must have at least one number (0-9)' Тормоз обнаруживает это Format Validation вопрос безопасности, и он рекомендует добавлять якоря между регулярны…
21 сен '17 в 20:26
3
ответа
Почему мой взгляд помечается как уязвимость XSS?
У меня есть show маршрут, который отображает содержание моей статьи контроллер: def show @article = Article.find(params[:id]) end Посмотреть: ... <li class="content"><%= @article.content.html_safe %></li> ... При запуске Brakeman о…
17 фев '16 в 19:14
1
ответ
Внедрение команды ruby exec (защита!)
Я запускаю самоцвет тормозного механизма над проектом... он жалуется на некоторые выполняемые команды exec. Текущий код: Process.fork {exec "pdftk #{uncrypted_pdf_file} output #{pdf_file} owner_pw #{password} allow printing"} Тормоз жалуется, предпо…
31 июл '14 в 02:53
1
ответ
Ложное предупреждение о массовом назначении выдается Брекманом Gem в model.new и model.update_attibutes и model.create
Массовое назначение - это особенность Rails, которая позволяет приложению создавать запись из значений хеша. Есть два разных массовых предупреждения о назначении, которые могут возникнуть. Первый - когда действительно происходит массовое назначение.…
01 авг '16 в 11:49
1
ответ
Тормоз не любит спасение
У меня есть этот метод внутри модели с этим кодом внутри. Он вызывает гем и возвращает либо нужный мне объект, либо ресурс 404 не найден. если я делаю метод на 404, то мне нужно спасти его, как показано ниже. Если я просто использую спасение, то лин…
29 ноя '18 в 17:06
4
ответа
Как запустить конкретную версию рубинового камня
Я запускаю тормозную систему за пределами моего Gemfile, поэтому не использую bundler. Если я сделаю gem list, Я вижу, у меня есть следующие для тормозов brakeman (3.3.3, 3.3.2, 3.1.4, 3.1.2) Но если я сделаю brakeman --version, Я получил brakeman 3…
12 авг '16 в 06:49
1
ответ
Отказ в обслуживании с использованием кэширования MIME-типов
Я использую тормозной механизм (3.5.1), чтобы отсканировать мой код рельсов (4.2.1). Вещи, кажется, хорошо. но это дает проблему, как показано ниже: отказ в обслуживании через кэширование MIME-типов. Пожалуйста, обновитесь до Rails 4.2.5. Теперь я п…
17 фев '16 в 09:03
2
ответа
Ruby on Rails 3.2.13 - Brakeman - Секрет сессии не должен быть включен в контроль версий
Я установил последнюю версию драгоценного камня Brakeman, чтобы помочь мне с безопасностью приложений Rails. У меня есть несколько приложений Rails, которые у меня есть на двух серверах, одно для разработки, а другое для производства. Когда я запуск…
25 май '13 в 13:11
1
ответ
Как предотвратить предупреждение "незащищенного перенаправления" от "Тормоза", если требуется перенаправление на внешний домен?
Модель в приложении Rails имеет столбец URL, где пользователи могут вводить адреса внешних сайтов. URL отображаются на странице. При нажатии, в дополнение к маршрутизации на этот URL, мне нужно выполнить некоторые действия в приложении. Итак, я опре…
26 фев '16 в 02:35
2
ответа
Как указать путь к приложению Rails, несмотря на то, что он находится в корневой папке?
Я пытаюсь запустить Brakeman в своем коде для выявления любых уязвимостей в безопасности. Я установил гем, и я нахожусь в корневой папке моего приложения Rails 4.2.4. Однако, когда я пытаюсь запустить Brakeman, используя: brakeman –f html -o brakema…
08 апр '16 в 10:28
2
ответа
Предупреждение Rails Brakeman: ложная тревога динамического рендеринга пути?
Я только начинаю с Rails, поэтому я использую Brakeman, чтобы узнать о потенциальных уязвимостях в моем коде новичка. Он выдает высоконадежное предупреждение "Dynamic Render Path" о следующем коде в моем show.js.erb файл: $('#media-fragment').html('…
29 июн '12 в 14:48
1
ответ
Диспетчер сканирования тормозов и вид
У меня есть контроллер sample_controller.rb и связанные взгляды под app/views/sample, Теперь я хочу проверить наличие проблем с безопасностью с помощью BrakeMan. Мой первый подход заключается в том, чтобы сделать сканирование отдельно, как показано …
01 мар '16 в 08:37