Brakeman是一款功能强大的静态安全分析工具,该工具旨在针对Ruby on Rails应用程序执行静态分析与安全漏洞扫描任务。
gem
使用 RubyGems:
gem install brakeman
使用Bundler:
group :development do
gem 'brakeman', require: false
end
使用Docker:
docker pull presidentbeef/brakeman
使用 Docker 从源代码构建:
git clone https://github.com/presidentbeef/brakeman.git
cd brakeman
docker build . -t brakeman
工具使用 本地运行
从 Rails 应用程序的根目录运行:
brakeman
从 Rails 根目录之外的地方运行:
brakeman /path/to/rails/application
使用 Docker 运行
从 Rails 应用程序的根目录运行:
docker run -v "$(pwd)":/code presidentbeef/brakeman
开启颜色高亮显示:
docker run -v "$(pwd)":/code presidentbeef/brakeman --color
显示并输出 HTML 报告:
docker run -v "$(pwd)":/code presidentbeef/brakeman -o brakeman_results.html
在 Rails 根目录之外运行(请注意,输出文件与 path/to/rails/application 相关):
docker run -v 'path/to/rails/application':/code presidentbeef/brakeman -o brakeman_results.html
工具配置 该工具的阐述选项可以存储并从 YAML 文件中读取,为了简化编写配置文件的过程,-C选项将输出当前设置的选项:
$ brakeman -C --skip-files plugins/
---
:skip_files:
- plugins/
默认配置位置为./config/brakeman.yml、~/.brakeman/config.yml和/etc/brakeman/config.yml。
需要注意的是,命令行中传递的选项优先于配置文件。
工具使用样例 使用 Brakeman 的最简单方法是在 Rails 应用程序的根目录中直接运行它,无需任何选项:
cd your_rails_app/
brakeman
这将扫描当前目录中的应用程序并将报告输出到命令行。
或者,你可以向 Brakeman 提供一个路径作为选项:
brakeman your_rails_app
比如说:
brakeman -p your_rails_app
许可证协议 本项目的开发与发布遵循MIT开源许可协议。
项目地址 Brakeman:
https://github.com/presidentbeef/brakeman
【 原文始发于微信公众号(FreeBuf):Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论