BRAKEMAN: Rails-Sicherheitsscanner

Hinterlasse einen Kommentar / Technische Artikel / Von

Einführung

Brakeman ist ein Sicherheitsscanner und erkennt mithilfe statischer Analyse Sicherheitslücken in Rails-Anwendungen. Es durchsucht direkt den Quellcode unserer Anwendung, wodurch die Notwendigkeit entfällt, unseren gesamten Anwendungsstapel für die Verwendung dieses praktischen Sicherheitstools einzurichten. Nach dem Scan erstellt es einen Bericht über alle erkannten Sicherheitsprobleme.

Vorteile

Führen Sie es jederzeit aus Denn alles, was Brakeman braucht, ist der Quellcode und dieser (Brakeman) kann in jedem Entwicklungsstadium ausgeführt werden: Wir können eine neue Anwendung mit Rails generieren und diese sofort mit Brakeman scannen. Bessere Abdeckung Es bietet mehr Abdeckung für unsere Anwendung. Es überprüft die Seiten, die möglicherweise noch nicht „live“ sind, und findet sogar Sicherheitslücken, bevor sie ausnutzbar werden. Geschwindigkeit Es ist viel schneller als „Black-Box“-Website-Scanner, was sich daran zeigt, dass das Scannen sehr großer Anwendungen nur wenige Minuten dauert.

Einschränkungen

Fehlalarm Da es etwas verdächtig ist, besteht die Gefahr, dass es zu vielen „falsch positiven Ergebnissen“ kommt. Ungewöhnliche Konfigurationen Es geht von einem „typischen“ Rails-Setup aus. Wenn einige Teile der App nicht unter das normale Layout der Rails-Anwendung fallen, besteht eine hohe Wahrscheinlichkeit, dass dieser Teil beim Scannen übersehen wird. Ist nicht allwissend Brakeman kann nicht alles verstehen, was im Code passiert. Manchmal werden einfach vernünftige Annahmen getroffen. Es kann sein, dass Dinge fehlen. Es kann sein, dass Dinge falsch interpretiert werden. Aber es gibt sein Bestes. Überprüfen Sie bei Problemen Folgendes: https://github.com/presidentbeef/brakeman/issues

Brakeman einbauen

Gem-Installation 
Juwel installiere Brakeman
Brakeman-Edelsteine sind jetzt signiert, was bedeutet, dass der Inhalt des Edelsteins mithilfe des überprüft werden kann öffentliches Bremserzeugnis. Geben Sie die folgenden Zertifikate als „vertrauenswürdig“ an, um den Edelstein zu verifizieren. # Bremser 
gem cert --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser usw. 
gem cert --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
# Multijson 
gem cert --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Verifizieren: 
Gem install Brakeman -P MediumSecurity
Bündeler Brakeman kann zu einer Gemfile hinzugefügt werden: 
gem „brakeman“, :require => false
Git-Klon 
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman Gem Build Brakeman.gemspec Gem Install Brakeman-*.gem

Laufender Bremser

Führen Sie es einfach ohne Optionen im Stammverzeichnis unserer Ruby-Anwendung aus: 
cd your_rails_app/ Brakeman
Es scannt die Anwendung und gibt die Ausgabe als Bericht an die Befehlszeile weiter. Alternativ können wir Brakeman optional einen Pfad bereitstellen: 
Bremser your_rails_app
Noch konkreter: 
Brakeman -p your_rails_app

Verweise

BrakemanScanner: https://brakemanscanner.org/docs/ Github: https://github.com/presidentbeef/brakeman RubyGems: https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts: http://railscasts.com/episodes/358-brakeman

Abonnieren Sie die neuesten Updates

zusammenhängende Posts
So setzen Sie das Commit von GitHub zurück
Führen Sie Sprachanrufe über Ruby on Rails-Webanwendungen durch
Wie importiert/exportiert man eine MySQL-Datenbank in Rails?
RailsCarma wird 2020 als bestes Ruby on Rails-Entwicklungsunternehmen ausgezeichnet

Über den Autor des Beitrags

Administrator

Siehe Beiträge des Autors

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

de_DEGerman
en_USEnglish jaJapanese fr_FRFrench es_ESSpanish de_DEGerman