Brakeman - Rails Security Scanner
Publicado por Roberto Soares (3spreto) em 24/09/2014
[ Hits: 3.831 ]
Blog: http://codesec.blogspot.com
Brakeman - Rails Security Scanner
Instalação
Você precisa ter o RubyGems[2] instalado em sua máquina, sendo assim, basta o comando abaixo para que a ferramenta seja instalada:gem install brakeman
Utilização
Após sua instalação, você pode utilizar o Brakeman de duas formas. A primeira é especificando o diretório que contém a aplicação a ser analisada:brakeman railsgoat/
Ou então, acessar o diretório e apenas executar o Brakeman:
cd railsgoat/
brakeman
E na prática, como fica?
Vamos a um exemplo de código Rails vulnerável, utilizando uma aplicação desenvolvida especialmente para fins didáticos, que é o RailsGoat[3].Utilize o Git para fazer o download de todo o código:
git clone https://github.com/OWASP/railsgoat.git
Agora, basta executar o Brakeman no código em questão:
brakeman railsgoat/
Você terá uma saída similar a esta abaixo:
Como podemos ver, foi gerado alguns avisos sobre possíveis vulnerabilidades:
+-------------------------------+-------+ | Warning Type..................| Total | +-------------------------------+-------+ | Attribute Restriction.........| 1 | | Command Injection.............| 1 | | Cross Site Scripting..........| 1 | | Cross-Site Request Forgery....| 1 | | Dangerous Send................| 1 | | File Access...................| 1 | | Format Validation.............| 1 | | Mass Assignment...............| 5 | | Remote Code Execution.........| 4 | | SQL Injection.................| 2 | | Session Setting...............| 2 | +-------------------------------+-------+
Lembrando que nos resultados de ferramentas deste tipo, podemos obter falsos positivos e falsos negativos, sendo assim, é altamente recomendado a análise manual por algum analista e/ou empresa[4] com experiência no assunto, para que todas a falhas presentes sejam mitigadas.
Referências
- [1]Brakeman - Rails Security Scanner
- [2]RubyGems.org | your community gem host
- [3]OWASP/railsgoat · GitHub
- [4]Conviso Application Security
See you in the next tip. :)
@espreto
F1 = Fórmula 1? NÃO! Mais uma vulnerabilidade do IE
Web Application Security com CAL9000
Tubarão nas nuvens? Vá de Cloudshark!
Escutar e gravar rádios online
OWASP Zed Attack Proxy Project
Como checar se há rootkits em seu sistema
Senhas criptograficamente seguras com o PWGen
tcpdump - Capturando senhas de serviços POP3/IMAP/SMTP ou HTTP
Conheça o Kapersky Cyberthreat Real-time Map
Reforçando a segurança contra exploits
Nenhum coment�rio foi encontrado.
Patrocínio
Destaques
Artigos
Aprenda a Gerenciar Permissões de Arquivos no Linux
Como transformar um áudio em vídeo com efeito de forma de onda (wave form)
Como aprovar Pull Requests em seu repositório Github via linha de comando
Dicas
Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal
Dando - teoricamente - um gás no Gnome-Shell do Arch Linux
Como instalar o Google Cloud CLI no Ubuntu/Debian
Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!
Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)
Tópicos
O que você está ouvindo agora? [2] (183)
Gestão de Ambiente em uma rede Linux (2)
Ajuda Pra Melhoria do NFTABLES. (7)
Zorin OS - Virtual Box não consigo abrir maquinas virtuais (4)
Top 10 do mês
-
Xerxes
1° lugar - 87.450 pts -
Fábio Berbert de Paula
2° lugar - 68.498 pts -
Mauricio Ferrari
3° lugar - 19.963 pts -
Alberto Federman Neto.
4° lugar - 18.022 pts -
Buckminster
5° lugar - 17.865 pts -
Daniel Lara Souza
6° lugar - 16.546 pts -
edps
7° lugar - 16.271 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 15.595 pts -
Diego Mendes Rodrigues
9° lugar - 14.203 pts -
Andre (pinduvoz)
10° lugar - 12.877 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
