1. дома
  2. Вопрос и ответ
  3. рубин на рельсах кондуктор драгоценных и OWASP топ 10

рубин на рельсах кондуктор драгоценных и OWASP топ 10

2016-02-04 3 views
2

мне было интересно, если кондуктор обложки/сканирует OWASP 10 лучших уязвимостей:рубин на рельсах кондуктор драгоценных и OWASP топ 10

Это верхняя OWASP 10:

https://www.owasp.org/index.php/Top_10_2013-Top_10

Есть ли документация где-то на brakeman, который показывает, что он охватывает вышеупомянутые проверки.

Я использую рубин на рельсах 4 и последнюю версию brakeman.

источник

2016-02-04 Micheal

+1

Посмотрите на список типов предупреждений, которые Brakeman дает [здесь] (http://brakemanscanner.org/docs/warning_types/), а затем вы можете сопоставить их с списком OWASP. –

ответ

4

Вы не можете определить вещи с точки зрения «покрытия» OWASP Top 10, поскольку они являются категориями уязвимостей, иногда очень широкими.

A1 Injection

кондуктор обнаруживает инъекции SQL и инъекции команды.

A2 Разбитая Аутентификация и управление сессиями

кондуктор предупреждает о небезопасных использовании Basic Auth и плохих настройках сеанса. Тем не менее, A2 действительно касается того, как приложения реализуют аутентификацию и управление сеансами. Обнаружение, если это сделано плохо, довольно сложно.

A3 Cross-Site Scripting (XSS)

кондуктор предупреждает о многих экземплярах и вариации XSS.

А4 небезопасной Прямая Ссылки на объект

кондуктор имеет дополнительный чек на unscoped finds, которые являются экземпляром IDOR.

A5 безопасности Неправильная

Это чаще проблема на уровне сервера и невероятно широк. Brakeman обнаруживает, когда SSL verification is turned off for HTTP calls.

A6 Чувствительный данных экспозиции

A6 в основном о хранении/передачи данных в незашифрованном виде. Brakeman этого не обнаруживает.

A7 Missing Функция Уровень управления доступом

кондуктор не обнаруживает это. Довольно сложно догадаться, что должно и не должно иметь контроля доступа.

A8 Запрос Cross-Site подлог (CSRF)

кондуктора предупреждает о отключенном CSRF и небезопасных конфигурациях.

A9 Использование компонентов с известными уязвимостями

кондуктор предупреждает только о CVEs в Rails. Используйте bundler-audit для других зависимостей.

A10 непроверенных Перенаправление и Нападающие

кондуктор предупреждает о open redirects.

Имейте в виду OWASP Top 10 является хорошим ресурсом, но не является исчерпывающим (только "Top 10"). Brakeman's warning categories даст вам представление о других проблемах, которые он обнаруживает.

источник

2016-02-05 16:38:02 Justin

 Смежные вопросы

  • Нет связанных вопросов^_^