Рубин на рельсы кондуктор камень и OWASP Топ-10

Вы не можете действительно определить вещи в терминах "покрытия" топ-10 OWASP, поскольку они являются категориями уязвимостей, иногда очень широкими.

A1 Инъекция

Кондуктор обнаруживает SQL-инъекций и введения команд.

A2 нарушена аутентификация и управление сеансами

Кондуктор предупреждает о небезопасных основное использование auth и бедных параметры сеанса. Однако на самом деле A2-это то, как приложения реализуют аутентификацию и управление сеансами. Определить, сделано ли это плохо, довольно трудно.

A3 межсайтовые сценарии (XSS)

Брейкман предупреждает о многих случаях и вариациях XSS.

A4 Небезопасные Прямые Ссылки На Объекты

У Brakeman есть необязательная проверка длянескоп находок , которые являются экземпляром IDOR.

A5 Неверная Конфигурация Безопасности

Это чаще всего проблема уровня сервера и невероятно широка. Брейкман действительно обнаруживает, когда проверка SSL отключена для HTTP-вызовов .

A6 Воздействие Чувствительных Данных

A6-это в основном хранение / передача незашифрованных данных. Брейкман этого не замечает.

A7 Отсутствует Контроль Доступа На Уровне Функций

Брейкман этого не замечает. Довольно трудно догадаться, что должно и не должно иметь контроля доступа.

A8 подделка межсайтовых запросов (CSRF)

Brakeman предупреждает об отключенной защите CSRF и небезопасные конфигурации.

A9 использование компонентов с известными уязвимостями

Кондуктор предупреждает только об авианосца в рельсы. Используйтеbundler-audit для других зависимостей.

А10 непроверенные перенаправления и вперед

Brakeman предупреждает ооткрытых перенаправлениях .

---

Имейте в виду, что OWASP Top 10-это хороший ресурс, но не исчерпывающий (только "Top 10"). Категории предупреждений брейкмана дадут вам представление о другие проблемы он обнаруживает.