Brakeman - Rails Security Scanner
Publicado por Roberto Soares (3spreto) em 24/09/2014
[ Hits: 4.012 ]
Blog: http://codesec.blogspot.com
Brakeman - Rails Security Scanner
Instalação
Você precisa ter o RubyGems[2] instalado em sua máquina, sendo assim, basta o comando abaixo para que a ferramenta seja instalada:gem install brakeman
Utilização
Após sua instalação, você pode utilizar o Brakeman de duas formas. A primeira é especificando o diretório que contém a aplicação a ser analisada:brakeman railsgoat/
Ou então, acessar o diretório e apenas executar o Brakeman:
cd railsgoat/
brakeman
E na prática, como fica?
Vamos a um exemplo de código Rails vulnerável, utilizando uma aplicação desenvolvida especialmente para fins didáticos, que é o RailsGoat[3].Utilize o Git para fazer o download de todo o código:
git clone https://github.com/OWASP/railsgoat.git
Agora, basta executar o Brakeman no código em questão:
brakeman railsgoat/
Você terá uma saída similar a esta abaixo:
Como podemos ver, foi gerado alguns avisos sobre possíveis vulnerabilidades:
+-------------------------------+-------+ | Warning Type..................| Total | +-------------------------------+-------+ | Attribute Restriction.........| 1 | | Command Injection.............| 1 | | Cross Site Scripting..........| 1 | | Cross-Site Request Forgery....| 1 | | Dangerous Send................| 1 | | File Access...................| 1 | | Format Validation.............| 1 | | Mass Assignment...............| 5 | | Remote Code Execution.........| 4 | | SQL Injection.................| 2 | | Session Setting...............| 2 | +-------------------------------+-------+
Lembrando que nos resultados de ferramentas deste tipo, podemos obter falsos positivos e falsos negativos, sendo assim, é altamente recomendado a análise manual por algum analista e/ou empresa[4] com experiência no assunto, para que todas a falhas presentes sejam mitigadas.
Referências
- [1]Brakeman - Rails Security Scanner
- [2]RubyGems.org | your community gem host
- [3]OWASP/railsgoat · GitHub
- [4]Conviso Application Security
See you in the next tip. :)
@espreto
theHarvester - Vamos colher alguns e-mails?
WPSPLOIT - Explorando o WordPress com Metasploit
VirusZoo - Um zoológico diferente
Escutar e gravar rádios online
Utilizar apenas Firefox no Squid
FireKeep: Firefox agindo como IDS
Corrigindo erros de chave pública no Debian (GPG)
Evintando envios de ping para o servidor
NetGrok, uma ótima ferramenta para monitoramento
Nenhum comentário foi encontrado.
Patrocínio
Destaques
Artigos
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
IA chega ao desktop e impulsiona produtividade no mundo Linux
Dicas
Atualizando o Fedora 42 para 43
Como saber se o seu e-mail já teve a senha vazada?
Como descobrir se a sua senha já foi vazada na internet?
Tópicos
Programa fora de escala na tela do pc (38)
\Boot sem espaço em disco (Fedora KDE Plasma 42) (1)
Mint Xfce não mantém a conexão no wi-fi (2)
Top 10 do mês
-
Xerxes
1° lugar - 112.336 pts -
Fábio Berbert de Paula
2° lugar - 86.644 pts -
Alberto Federman Neto.
3° lugar - 26.670 pts -
Mauricio Ferrari
4° lugar - 24.566 pts -
edps
5° lugar - 24.043 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 23.494 pts -
Buckminster
7° lugar - 22.729 pts -
Daniel Lara Souza
8° lugar - 20.224 pts -
Andre (pinduvoz)
9° lugar - 20.146 pts -
Juliao Junior
10° lugar - 16.517 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
