Brakeman - Rails Security Scanner
Publicado por Roberto Soares (3spreto) em 24/09/2014
[ Hits: 3.899 ]
Blog: http://codesec.blogspot.com
Brakeman - Rails Security Scanner
Instalação
Você precisa ter o RubyGems[2] instalado em sua máquina, sendo assim, basta o comando abaixo para que a ferramenta seja instalada:gem install brakeman
Utilização
Após sua instalação, você pode utilizar o Brakeman de duas formas. A primeira é especificando o diretório que contém a aplicação a ser analisada:brakeman railsgoat/
Ou então, acessar o diretório e apenas executar o Brakeman:
cd railsgoat/
brakeman
E na prática, como fica?
Vamos a um exemplo de código Rails vulnerável, utilizando uma aplicação desenvolvida especialmente para fins didáticos, que é o RailsGoat[3].Utilize o Git para fazer o download de todo o código:
git clone https://github.com/OWASP/railsgoat.git
Agora, basta executar o Brakeman no código em questão:
brakeman railsgoat/
Você terá uma saída similar a esta abaixo:
Como podemos ver, foi gerado alguns avisos sobre possíveis vulnerabilidades:
+-------------------------------+-------+ | Warning Type..................| Total | +-------------------------------+-------+ | Attribute Restriction.........| 1 | | Command Injection.............| 1 | | Cross Site Scripting..........| 1 | | Cross-Site Request Forgery....| 1 | | Dangerous Send................| 1 | | File Access...................| 1 | | Format Validation.............| 1 | | Mass Assignment...............| 5 | | Remote Code Execution.........| 4 | | SQL Injection.................| 2 | | Session Setting...............| 2 | +-------------------------------+-------+
Lembrando que nos resultados de ferramentas deste tipo, podemos obter falsos positivos e falsos negativos, sendo assim, é altamente recomendado a análise manual por algum analista e/ou empresa[4] com experiência no assunto, para que todas a falhas presentes sejam mitigadas.
Referências
- [1]Brakeman - Rails Security Scanner
- [2]RubyGems.org | your community gem host
- [3]OWASP/railsgoat · GitHub
- [4]Conviso Application Security
See you in the next tip. :)
@espreto
Proteção contra vulnerabilidade POODLE SSLv3
VirusZoo - Um zoológico diferente
F1 = Fórmula 1? NÃO! Mais uma vulnerabilidade do IE
Atualizando o BackTrack 4 com o apt-get e Fast-Track
Limitador de conexões para usuários
SQUID + Autenticação Segura no AD (NTLM)
Paros Proxy - Web Application Security
Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança
Nenhum coment�rio foi encontrado.
Patrocínio
Destaques
Artigos
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Atualizar Debian Online de uma Versão para outra
Dicas
Dica para encontrar diversos jogos Indies criativos
Instalando Discord no Debian 13
Instalar driver Nvidia no Debian 13
Redimensionando, espelhando, convertendo e rotacionando imagens com script
Tópicos
Software livre - será que eu estou tão errado assim? (17)
Dificuldade com Ocs 2.12.3 no Debian 13 com Apache2 - Can't load ... (4)
paginação dos favoritos não funciona no vivaolinux[BU... (4)
Top 10 do mês
-
Xerxes
1° lugar - 56.797 pts -
Fábio Berbert de Paula
2° lugar - 34.967 pts -
Buckminster
3° lugar - 20.220 pts -
Sidnei Serra
4° lugar - 13.402 pts -
Mauricio Ferrari
5° lugar - 12.376 pts -
Alberto Federman Neto.
6° lugar - 11.965 pts -
Samuel Leonardo
7° lugar - 11.679 pts -
Daniel Lara Souza
8° lugar - 11.353 pts -
Andre (pinduvoz)
9° lugar - 10.594 pts -
edps
10° lugar - 10.513 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
