問題タブ [brakeman]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - クロススクリプティング エラーの安全でないパラメータ値の警告で Brakeman が終了する
セキュリティの問題をチェックするために CircleCI を使用していますが、これはエラーとして表示されますが、それが正しいかどうかはわかりません。
これは、スクリプト エラーの 1 つを引き起こしているコード行です。
これは有効なセキュリティ上の問題ですか? Brakeman にこれらのパラメータを安全なものとして受け入れさせる方法はありますか? 読み進めました--url-safe-methodsが、それを機能させる方法がわかりませんでした。
このリンクをガイドとして使用https://github.com/presidentbeef/brakeman/pull/45
を実行bundle exec brakeman -A -q --exit-on-warnしています。これはエラー レポートです。
ruby-on-rails - Ruby On Rails - これらの Brakeman 警告はどういう意味ですか?
brakeman gemアプリのスキャンに使用しています。
アプリをスキャンした後、次の警告が表示されます。
誰かがこれらの警告の意味を理解するのを助けることができますか?
ruby-on-rails - Ruby On Rails - Brakeman: セッション Cookie は HTTP のみに設定する必要があります
アプリコードBrakeman gemの分析に使用しています。ruby-on-rails
次のものがありますHigh level security warning。
ドキュメントによると、httponly属性を(デフォルト値)trueではなくに設定すると、この警告が削除されます (私にとってはうまくいきました)。falseconfig/initializers/session_sotre.rb
誰かが何が起こっているのか説明できますか? なぜこの問題を解決しているのですか?に値を設定するとtrue問題が発生する可能性がありますか?
ruby-on-rails - Rails 3 の大量割り当ての脆弱性を修正するための安全なソリューションは何ですか?
私は既存の Rails 3 プロジェクトを保護することに取り組んでいます。ブレーキマンを実行すると、多くのモデル クラスで次の警告が表示されます。
すべての警告は _id 列にあります。
モデルは現在、次のようになっています。
主な質問に加えて、警告を満たすために _id 列が削除された場合、これらのフィールドを設定する適切な方法は何ですか?
ruby-on-rails - Brakeman Redirect 警告: 誤検知?
次のスニペットは、「保護されていないリダイレクトの可能性」としてマークされています。
NotificationStatus は、ActiveRecord モデルおよびbelongs_to通知モデルです。redirect_url通知欄です。
これは偽陽性だと思いますが、よくわかりません。アプリの外部でリダイレクトが可能になる可能性はありますか?
ruby-on-rails - セキュリティの脆弱性が見つかった場合は、Brakeman や Jenkins にメールを送信してもらう
Brakeman rake タスクを Jenkins を介して自動的に実行するように設定しましたが、発見された初期のセキュリティ脆弱性にすでに対処しているため、Brakeman は 99% の確率で正常に実行されます。問題がないことを確認するために毎回レポートを開く必要はありません。新しい脆弱性が見つかった場合、(Jenkins、Brakeman、またはカスタムの何か) が電子メール (またはその他の方法) で通知するようにします。
誰でもこれを行うためのアプローチを考えることができますか?