Rails安全检测工具之Brakeman介绍

最新推荐文章于 2024-03-12 11:33:45 发布
最新推荐文章于 2024-03-12 11:33:45 发布
阅读量2.3k 收藏
点赞数
分类专栏: Ruby On Rails 安全/Security 文章标签: brakeman Rails 介绍 安全检测工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feigeswjtu/article/details/51428645
版权

去年(2015年)是一个悲惨的一年,因为撞库事件导致公司每个人都在忙碌,当然这也不一定是件坏事,这个事情明显提高了每个人的安全意识,吃一见长十智,在开发的时候不挖坑总比填安全方面的坑强多了,最近业务迭代少了些,可能也是经济危机导致的吧,现在在主抓安全方便的事宜,这不,最近学习了很多安全方面的知识,后续笔者会一个一个的介绍一下,笔者顺便做个笔记,加深一下印象。

本篇文章主要介绍一下Rails最常用的安全检测工具Brakeman的特点以及其使用方法。

介绍

Brakeman是一个从代码层面检测Rails代码的安全漏洞。
有以下特点:
1.不需要配置,只需要安装执行检测命令。
2.随时监测,不需要启动rails server。
3.覆盖面广,比如可以覆盖不在使用的views。

最低0.47元/天 解锁文章
feigeswjtu
关注
专栏目录
安全测试工具
Test architect
04-02 132
这里写目录标题AppScan二级目录三级目录 AppScan 二级目录 三级目录
DevSecOps及软件IT安全防护的开源扫描工具
xiphi_6的专栏
02-17 1184
DevSecOps以及安全扫描开源扫描工具
Rails应用漏洞检测工具Brakeman.zip
07-19
Brakeman 是一个用来分析基于 Ruby on Rails 框架开发的应用程序的静态分析安全漏洞扫描器。 标签:Brakeman
刹车动作:在Github动作中使用刹车来静态分析代码
01-30
使用Brakeman进行代码审查 在Github操作中使用Brakeman静态分析代码 输入项 files 更改Rails应用程序的路径 options 更改brakeman命令行选项。 以JSON数组格式指定选项。 例如: '["-A", "--skip-libs"]' working_directory 更改Node.js进程的当前工作目录 reporter_type_notation 换记者。 (可以指定多个,以逗号分隔) 用法示例 name : Analyze code statically " on " : pull_request jobs : brakeman : runs-on : ubuntu-latest steps : - uses : actions/checkout@v2 - name : Analyze code statically using Brakeman uses : moneyforward/brakeman-action@v0 贡献 在GitHub上( 上的错误报告和请求请
Brakeman - Rails Security Scanner
cnbird's blog
03-28 774
http://brakemanscanner.org/
第三天,Ruby on Rails,脚手架的应用,自动化测试
yier_1的博客
12-02 708
2018年12月1日 一、脚手架应用 我这次换了新版本的ruby环境,2.5.3 换源,并设置ruby2.5.3为默认版本 $ gem source --add https://gems.ruby-china.com/ --remove https://rubygems.org/ $ rvm use 2.5.3 --default 新建一个项目 $ rails new toy_...
Ruby 和 OpenSSL CA 证书的问题
weixin_30325487的博客
11-02 363
作为一个版本控,总是希望保持电脑中各种软件到最新版本。 最近通过 brew 升级 OpenSSL 和 ruby-build 到最新,尤其是 ruby-build 支持最新的Ruby 2.2.1,新版 Ruby 中针对 Symobl GC 的改进很让人期待,升级步骤略暴力,采用自毁重装的方式: rm -rf ~/.rbenv rbenv install 2.2.1 rbenv global...
web容器获取SSL指纹实现和ByPass
nidongla的博客
06-07 1241
前言购优惠 www.fenfaw.cn 前段时间对SSL指纹的获取实现很感兴趣,从表面到深入再到实现让我更加深刻理解SSL设计。 本篇介绍: SSL指纹在web容器(Kestrel)下如何获取,并实现一个Middleware来很方便集成到web工程里面(下文附源码地址)。 解析ClientHello的套路以及如何生成SSL指纹 测试不同的客户端的SSL指纹(java curl Fiddler python csharp chrome edge) 本次对SSL指纹的研究就算是完结篇了, 本次系列 从SS...
brakeman_poc
03-25
【标题】"Brakeman_POC" 是一个与Ruby on Rails框架相关的安全漏洞检测工具的证明概念(Proof of Concept,POC)。Brakeman是一款静态分析安全扫描器,专为发现Rails应用程序中的潜在安全问题而设计。这个POC可能是...
探索 Brakeman: 提升您的 Ruby on Rails 应用程序安全
最新发布
gitblog_00004的博客
03-12 414
探索 Brakeman: 提升您的 Ruby on Rails 应用程序安全性 brakemanpresidentbeef/brakeman: Brakeman 是 Ruby on Rails 应用程序的安全审计工具,它可以静态分析 Rails 代码以检测潜在的安全漏洞,如 SQL 注入、跨站脚本攻击(XSS)、不安全的对象引用等。项目地址:https://gitcode.com/gh_mirr...
红队搬运工-github项目-第一期
Gamma_lab的博客
03-24 1784
1.Mip22 github链接:https://github.com/makdosx/mip22 介绍:高级网络钓鱼工具,适用于 Linux 和 Android,只需安装并选择手动或自动攻击,就可以选择要使用的网络钓鱼方法类型 开发语言:Shell 推荐理由:自动攻击方法易于使用,并预装了超过 60 种克隆电子服务,即社交媒体网络、电子邮件提供商和云提供商,也可以使用手动方法并通过 Web 浏览器自己克隆自己的服务,并且它还可以访问隧道设置以及电子邮件服务 2.Legion github链接:https:
centos 绕过ssl_在Android上绕过SSL固定
weixin_26739079的博客
08-23 318
centos 绕过sslAlmost all mobile applications communicate with a backend server, whether this is transmitting app data, backups, analytics; there is some sort of back and forth of data over wireless comm...
SSL证书校验到底在校验什么?
LiteHeaven的专栏
04-21 2778
https用的太多了,用https的时候,不填TrustManager,用默认代码,就可以较安全地访问经过权威ca签名的host网址,啥都不用做,安逸, 当然我们也可以加载自定义TrustManager,如下: private static OkHttpClient.Builder createBuilder(){ ProxySelectorWrapper wrapper = new ProxySelectorWrapper(ProxySelector.getDefault()
Github安全开源工具集合
SONBYN
05-27 9235
Scanners-Box是来自github平台的开源扫描仪的集合,包括子域枚举,数据库漏洞扫描程序,弱密码或信息泄漏扫描仪,端口扫描仪,指纹扫描仪和其他大型扫描仪,模块化扫描仪等。对于其他众所周知的扫描工具,如:Nmap,w3af,brakeman将不会包含在收集范围内。 安全行业从业人员常用工具指引,包括各类在线安全学习资料和安全检测工具,欢迎大家持续贡献! 入门指南 https://...
GitHub 上的十一款热门开源安全工具
钱国正的专栏
09-14 3794
作为开源开发领域的基石,“所有漏洞皆属浅表”已经成为一条著名的原则甚至是信条。作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所普遍接受。 恶意软件分析、渗透测试、计算机取证——GitHub托管着一系列引人注目的安全工具、足以应对各类规模下计算环境的实际需求。 GitHub上的十一款热门开源安全工具
ruby on rails测试
Majson的博客
12-28 585
Rspec(基本测试)
白嫖真香:5 个强大的静态代码分析工具!程序员都说好用
致力于C语言C++知识分享!
04-06 1871
市面上有许多代码分析工具,但昂贵的费用对于程序员来说可能有些难以承受。 但以下的免费静态分析工具,我相信你一定是会选择白嫖~ 1、DeepCode 作为一个代码分析工具,DeepCode利用人工智能来帮助清理代码,主要功能是检查代码并突出显示可能容易受到安全漏洞破坏的部分。 使用DeepCode工具,我们可以在达到临界安全级别之前分析用户输入处理。因此,当任何数据在没有安全验证或清除的情况下从一个点移动到另一个点时,该工具会将其标记为受污染的,并向您发出警告。可以标记的问题包括跨网站脚本、SQL
5款优秀的GitHub开源安全工具
UNITY3D游戏引擎技术专家
04-05 2324
概述:GitHub上有不少非常优秀的安全工具,恶意软件分析、渗透测试...而且开源。Metasploit 框架、Brakeman、Moloch、MozDef:Mozilla、OS X Auditor,很多的朋友都很熟悉,当然,如果你还没发现他们,那么今天,小编就为大家介绍介绍。 1、Metasploit 框架 作为由开源社区及安全企业Rapid7一手推动的项目,Metasploit框架
Rails应用安全实践指南
"Security On Rails 是一本专注于 Ruby on Rails 应用程序安全的电子书,由业界专家撰写,深入探讨了 Rails 开发者面临的常见安全问题,并提供了实用的代码示例来展示如何缓解这些问题,增强应用的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值