brakeman

8熱度

1回答

我剛剛開始使用Rails，因此我使用Brakeman來了解我的新手代碼中的潛在漏洞。它拋出一個高可信度的「動態渲染路徑」在我show.js.erb文件警告有關下面的代碼： $('#media-fragment').html('<%= escape_javascript(render(params[:partial])) %>'); 其實我預計這是一個問題，所以毫不奇怪。所以我把它改爲： # c

0熱度

1回答

Rails的司閘員SQL注入警告使用阿雷爾語法

在我的Rails應用程序3.2，Brakeman 1.8.3提出了模型中的下面的代碼高信心SQL注入警告： micropost.rb def self.from_users_followed_by(user) followed_user_ids = Relationship.select(:followed_id). where("follower_id = :use

1熱度

1回答

Jenkins執行rcov報告，rails stats報告和brakeman警告時出錯

我正在使用Jenkins進行部署過程並且工作正常。當我嘗試採取rcov報告欄統計報告和brakeman警告。 [[email protected]]執行命令 ** [出:: [email protected]]啓動獨角獸.. 命令在2228ms完成 POST生成任務：SUCCESS POST生成任務結束：0 ERROR：出版商hudson.plugins.brakeman.BrakemanPubl

1熱度

2回答

如何使Brakeman忽略某些路徑

我正在嘗試爲我的Rails項目配置Brakeman，我希望它忽略某些目錄和文件。我找不到指定要排除的路徑的選項。有誰知道這是否可能？

0熱度

1回答

SQL注入在這裏可能嗎？

我在Rails應用上運行了一個靜態代碼分析工具（brakeman），它報告了一些我懷疑可能是誤報的SQL注入漏洞。違規的線條看起來像這樣： #things_controller.rb def index Thing.select(params[:columns]).where(params[:conditions]) end 我想不通的方式來利用這一點，但它似乎相當開放式的，這

0熱度

1回答

安全重定向到嵌套資源在Rails中

我最近添加的司閘員寶石我的Gemfile，不得不看，我應該用 :only_path => true ，使之更加安全。但我使用嵌套的資源，不知道如何，這裏是我的控制器的一部分。 if @comment.update_attributes(params[:comment]) redirect_to [@message, @comment], notice: 'Comment was su

2熱度

1回答

非轉義非ASCII字符的ASCII非-8BIT腳本

我有這樣的正則表達式： /\「(?>[^\「\」\\]+|\\{2}|\\.)*\」/ （與# -*- encoding : utf-8 -*-在我的文件），它運行，而無需在應用程序中的任何錯誤。當我使用brakeman寶石來檢查我的應用程序，它返回如下： WARNING: invalid multibyte character: /\「(?>[^\「\」\\]+|\\{2}|\\.)*\」/

2熱度

2回答

司閘員：在文件名稱中使用的警告

我設置文件名，如「abc_1.pdf」，其中「1」是一個模型的屬性值模型屬性。但制動員掃描儀將此視爲安全問題。我需要通過引用具有模型屬性的文件名來跟蹤文件。你能告訴我，解決這個安全問題的正確方法是什麼？謝謝。

0熱度

1回答

如何以安全的方式使用多態關聯

我有以下代碼，其中創建了一個對象（rmodal）。即類與其他一些類（cmodal，umodal，ccmodal，pmodal，emodal）的rmodal創建具有帶有隱藏字段，其包括其類型（cmodal，umodal的形式的多態關聯等）及其ID（r_id）以下代碼是否被充分保護？司閘員目前指出，這條線可能會導致遠程代碼exectuion @r_type = params[:r].delete