問題タブ [brakeman]

Rails プロジェクト用に Brakeman を構成しようとしていますが、特定のディレクトリとファイルを無視したいと考えています。除外するパスを指定するオプションが見つかりません。これが可能かどうか誰にもわかりますか？

私はこの正規表現を持っています:

（# -*- encoding : utf-8 -*-私のファイルで）、私のアプリケーションでエラーなしで実行されます。gem を使用しbrakemanてアプリケーションをチェックすると、次のように返されます。

1) 警告が表示されるのはなぜですか? (括弧文字がエスケープされていませんか?)
2) 警告を無視すると何か悪いことが起こりますか?
3)同じ目的を達成するが、この問題が発生しないようにコードを変更する方法はありますか?

プロジェクトで Brakeman gem を実行しています。実行中のいくつかの exec コマンドについて不平を言っています。

現在のコード:

Process.fork {exec "pdftk #{uncrypted_pdf_file} output #{pdf_file} owner_pw #{password} allow printing"}

Brakeman は、コマンド インジェクションの可能性があることを示唆して不平を言っています。たとえば、exec を呼び出すいくつかの異なる組み合わせを試しました。

Process.fork {exec "pdftk", uncrypted_pdf_file, " output #{pdf_file} ", "owner_pw #{password}", "allow printing"}

しかし、ご想像のとおり、各引数は順番に pdftk に渡されるため、失敗します。

ワンショットでコマンドを呼び出し、コマンド インジェクションから保護する方法はありますか。私たちの特定のケースでは、すべての変数を制御するのでとにかく安全ですが、正しい方法を知っておくとよいでしょう。

Rails 4 アプリケーションがあり、Brakeman を実行すると、create アクションで保護されていないリダイレクトが (正しく) 識別されます。ただし、 only_path: true ( Brakeman Railscastのように) を追加しても、警告は解決されません。

結果:

これはなぜでしょうか？Brakeman はまだどのようなリスクを特定していますか?

次のエラーを表示しているブレーキマン、ファイルはクリップで管理されています。私のコントローラーで

asset_file ||= AssetFile.find(params[:id])

if asset_file
// ファイルをダウンロード
send_file asset_file.uploaded_file.path , :type => asset_file.uploaded_file_content_type
else
flash[:error] = t('document.mind_your_asset_file')
redirect_to root_url
end

動的 SQL ステートメントを作成しActiveRecord::Base.connection.select_values、クエリが少し複雑であるため (複数のテーブルから複数の group by および select 列を使用して 3 ～ 4 個のテーブルを結合する)、より迅速な応答が必要であるため、使用して実行しています。SQL インジェクションを特定するためにBrakemanセキュリティ スキャナーを使用しています。これらの動的クエリのほとんどは、SQL インジェクションに対して脆弱であるとマークされています。

Rails内部メソッドのいくつかを使用して、単一引用符の動的SQLステートメントで使用されたパラメータを手動でクリーンアップしようとしました例：文字列をエスケープ（単一引用符）するために、sanitize_sql_for_conditions他の同様の方法を試しましたが、BrakemanはまだそれらをSQLインジェクションに対して脆弱であると識別していますまたは、一重引用符だけをエスケープしても SQL インジェクションの問題は解決しませんか?

動的 SQL の構築中に SQL インジェクションを処理するより良い方法はありますか?

Rails 2.3 ruby​​ 1.8.7 を使用しています

モデルにスコープがあります：

したがって、breakman レポートを実行すると、次の警告が表示されます。

だから私は次のことを試しました：

'SQLの前後に（アポストロフィ）を追加するため、これはうまくいきません。したがって、これをいくつかの結果を返すクエリの一部として使用し、このスコープを適用すると、間違った SQL が生成されます。

私もこれを試しました：

ステートメントも作成しません。そして、機能せず、言及する価値さえない他のいくつかのものを試しました。これを修正する方法を知っている人はいますか？

これがセキュリティ上の問題である理由を説明してもらえますか?

言語を切り替えることができるように、プロジェクトに単純なパーシャルを追加しようとしています。このパーシャルが各コントローラーと対話したり、ユーザーを別のページに切り替えたり、有効なすべての有効なパラメーターを認識したりする必要はありません。

file access次のコードに対して警告が表示されます。

警告は次のとおりです。

ユーザー提供の入力に、ファイル アクセス API に渡される「..」または同様の文字が含まれている可能性がある場合、意図したサブディレクトリの外部にあるファイルへのアクセスが発生します。

私はparamsをサニタイズしようとしました：

しかし、これはハキリ警告の警告には影響しないようです。