Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器

admin 2025年1月1日21:29:27评论10 views字数 1296阅读4分19秒阅读模式
Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
关于Brakeman

Brakeman是一款功能强大的静态安全分析工具,该工具旨在针对Ruby on Rails应用程序执行静态分析与安全漏洞扫描任务。

Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
工具要求

gem

工具安装

使用 RubyGems:

gem install brakeman

使用Bundler:

group :development do  gem 'brakeman', require: falseend

使用Docker:

docker pull presidentbeef/brakeman

使用 Docker 从源代码构建:

git clone https://github.com/presidentbeef/brakeman.gitcd brakemandocker build . -t brakeman
工具使用

本地运行

从 Rails 应用程序的根目录运行:

brakeman

从 Rails 根目录之外的地方运行:

brakeman /path/to/rails/application

使用 Docker 运行

从 Rails 应用程序的根目录运行:

docker run -v "$(pwd)":/code presidentbeef/brakeman

开启颜色高亮显示:

docker run -v "$(pwd)":/code presidentbeef/brakeman --color

显示并输出 HTML 报告:

docker run -v "$(pwd)":/code presidentbeef/brakeman -o brakeman_results.html

在 Rails 根目录之外运行(请注意,输出文件与 path/to/rails/application 相关):

docker run -v 'path/to/rails/application':/code presidentbeef/brakeman -o brakeman_results.html
工具配置

该工具的阐述选项可以存储并从 YAML 文件中读取,为了简化编写配置文件的过程,-C选项将输出当前设置的选项:

$ brakeman -C --skip-files plugins/---:skip_files:- plugins/

默认配置位置为./config/brakeman.yml、~/.brakeman/config.yml和/etc/brakeman/config.yml。

需要注意的是,命令行中传递的选项优先于配置文件。

工具使用样例

使用 Brakeman 的最简单方法是在 Rails 应用程序的根目录中直接运行它,无需任何选项:

cd your_rails_app/brakeman

这将扫描当前目录中的应用程序并将报告输出到命令行。

或者,你可以向 Brakeman 提供一个路径作为选项:

brakeman your_rails_app

比如说:

brakeman -p your_rails_app
许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

Brakeman

https://github.com/presidentbeef/brakeman

原文始发于微信公众号(FreeBuf):Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日21:29:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器https://cn-sec.com/archives/3572635.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息