Brakeman - Rails Security Scanner
Publicado por Roberto Soares (3spreto) em 24/09/2014
[ Hits: 3.926 ]
Blog: http://codesec.blogspot.com
Brakeman - Rails Security Scanner
Instalação
Você precisa ter o RubyGems[2] instalado em sua máquina, sendo assim, basta o comando abaixo para que a ferramenta seja instalada:gem install brakeman
Utilização
Após sua instalação, você pode utilizar o Brakeman de duas formas. A primeira é especificando o diretório que contém a aplicação a ser analisada:brakeman railsgoat/
Ou então, acessar o diretório e apenas executar o Brakeman:
cd railsgoat/
brakeman
E na prática, como fica?
Vamos a um exemplo de código Rails vulnerável, utilizando uma aplicação desenvolvida especialmente para fins didáticos, que é o RailsGoat[3].Utilize o Git para fazer o download de todo o código:
git clone https://github.com/OWASP/railsgoat.git
Agora, basta executar o Brakeman no código em questão:
brakeman railsgoat/
Você terá uma saída similar a esta abaixo:
Como podemos ver, foi gerado alguns avisos sobre possíveis vulnerabilidades:
+-------------------------------+-------+ | Warning Type..................| Total | +-------------------------------+-------+ | Attribute Restriction.........| 1 | | Command Injection.............| 1 | | Cross Site Scripting..........| 1 | | Cross-Site Request Forgery....| 1 | | Dangerous Send................| 1 | | File Access...................| 1 | | Format Validation.............| 1 | | Mass Assignment...............| 5 | | Remote Code Execution.........| 4 | | SQL Injection.................| 2 | | Session Setting...............| 2 | +-------------------------------+-------+
Lembrando que nos resultados de ferramentas deste tipo, podemos obter falsos positivos e falsos negativos, sendo assim, é altamente recomendado a análise manual por algum analista e/ou empresa[4] com experiência no assunto, para que todas a falhas presentes sejam mitigadas.
Referências
- [1]Brakeman - Rails Security Scanner
- [2]RubyGems.org | your community gem host
- [3]OWASP/railsgoat · GitHub
- [4]Conviso Application Security
See you in the next tip. :)
@espreto
Redirecionamento de portas com socat
Paros Proxy - Web Application Security
theHarvester - Vamos colher alguns e-mails?
Extensões do Firefox para testes de segurança
Escutar e gravar rádios online
Deixe seu servidor web mais seguro
Nova versão do sshtrix liberada! Mais uma ferramenta para Brute force
Nenhum coment�rio foi encontrado.
Patrocínio
Destaques
Artigos
O que é o THP na configuração de RAM do Linux e quando desabilitá-lo
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Dicas
Deixando o Plasma6 mais fluido no Linux
Como unir duas coleções de ROMs preservando as versões traduzidas (sem duplicatas)
Tópicos
Isso acontece com vcs também? (7)
Problema com audio apos upgrade (10)
Instalação automatizada do Debian 12 em UEFI (2)
Top 10 do mês
-
Xerxes
1° lugar - 72.797 pts -
Fábio Berbert de Paula
2° lugar - 42.390 pts -
Buckminster
3° lugar - 22.358 pts -
Mauricio Ferrari
4° lugar - 15.707 pts -
Sidnei Serra
5° lugar - 14.881 pts -
Alberto Federman Neto.
6° lugar - 14.021 pts -
edps
7° lugar - 13.082 pts -
Daniel Lara Souza
8° lugar - 12.939 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 11.220 pts -
Diego Mendes Rodrigues
10° lugar - 11.012 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
