brakeman

8热度

1回答

我刚刚开始使用Rails，因此我使用Brakeman来了解我的新手代码中的潜在漏洞。它抛出一个高可信度的“动态渲染路径”在我show.js.erb文件警告有关下面的代码： $('#media-fragment').html('<%= escape_javascript(render(params[:partial])) %>'); 其实我预计这是一个问题，所以毫不奇怪。所以我把它改为： # c

0热度

1回答

Rails的司闸员SQL注入警告使用阿雷尔语法

在我的Rails应用程序3.2，Brakeman 1.8.3提出了模型中的下面的代码高信心SQL注入警告： micropost.rb def self.from_users_followed_by(user) followed_user_ids = Relationship.select(:followed_id). where("follower_id = :use

1热度

1回答

Jenkins执行rcov报告，rails stats报告和brakeman警告时出错

我正在使用Jenkins进行部署过程并且工作正常。当我尝试采取rcov报告栏统计报告和brakeman警告。 [[email protected]]执行命令 ** [出:: [email protected]]启动独角兽.. 命令在2228ms完成 POST生成任务：SUCCESS POST生成任务结束：0 ERROR：出版商hudson.plugins.brakeman.BrakemanPubl

1热度

2回答

如何使Brakeman忽略某些路径

我正在尝试为我的Rails项目配置Brakeman，我希望它忽略某些目录和文件。我找不到指定要排除的路径的选项。有谁知道这是否可能？

0热度

1回答

SQL注入在这里可能吗？

我在Rails应用上运行了一个静态代码分析工具（brakeman），它报告了一些我怀疑可能是误报的SQL注入漏洞。违规的线条看起来像这样： #things_controller.rb def index Thing.select(params[:columns]).where(params[:conditions]) end 我想不通的方式来利用这一点，但它似乎相当开放式的，这

0热度

1回答

安全重定向到嵌套资源在Rails中

我最近添加的司闸员宝石我的Gemfile，不得不看，我应该用 :only_path => true ，使之更加安全。但我使用嵌套的资源，不知道如何，这里是我的控制器的一部分。 if @comment.update_attributes(params[:comment]) redirect_to [@message, @comment], notice: 'Comment was su

2热度

1回答

非转义非ASCII字符的ASCII非-8BIT脚本

我有这样的正则表达式： /\「(?>[^\「\」\\]+|\\{2}|\\.)*\」/ （与# -*- encoding : utf-8 -*-在我的文件），它运行，而无需在应用程序中的任何错误。当我使用brakeman宝石来检查我的应用程序，它返回如下： WARNING: invalid multibyte character: /\「(?>[^\「\」\\]+|\\{2}|\\.)*\」/

2热度

2回答

司闸员：在文件名称中使用的警告

我设置文件名，如“abc_1.pdf”，其中“1”是一个模型的属性值模型属性。但制动员扫描仪将此视为安全问题。我需要通过引用具有模型属性的文件名来跟踪文件。你能告诉我，解决这个安全问题的正确方法是什么？谢谢。

0热度

1回答

如何以安全的方式使用多态关联

我有以下代码，其中创建了一个对象（rmodal）。即类与其他一些类（cmodal，umodal，ccmodal，pmodal，emodal）的rmodal创建具有带有隐藏字段，其包括其类型（cmodal，umodal的形式的多态关联等）及其ID（r_id）以下代码是否被充分保护？司闸员目前指出，这条线可能会导致远程代码exectuion @r_type = params[:r].delete