Skip to content

B
Brakeman

李少辉-开发者 / Brakeman

通知 1
Star 0
Fork 0
B
Brakeman

体验新版 GitCode,发现更多精彩内容 >>

切换分支/标签
  1. 05 12月, 2012 1 次提交
  3. 14 11月, 2012 3 次提交
  5. 31 10月, 2012 1 次提交
  7. 12 10月, 2012 1 次提交
  9. 11 10月, 2012 1 次提交
  11. 09 10月, 2012 1 次提交
  13. 26 9月, 2012 5 次提交
  15. 13 9月, 2012 1 次提交
  17. 28 7月, 2012 1 次提交
  19. 07 4月, 2012 1 次提交
  21. 16 2月, 2012 1 次提交
    • N
      Catch raw hrefs as bad, warn unless wrapped in a "safe" method · 3dc688ee
      Neil Matatall 提交于 
      Add concept of a safe-ening method to mark hrefs as safe

Feature:
Warn when using unsafe hrefs.  This is a very specific case that as of now produces a ton of noise.  This came out of an xss vuln where the value was escaped but still vulnerable.

    link_to 'asdf', h(@scary)

where

    @scary = 'javascript:alert(1)'

or

    @scary = 'data:  # http://palpapers.plynt.com/issues/2010Oct/bypass-xss-filters/

This branch accomplishes slightly intelligent warnings by adding a new command line option to declare methods that make a string URL safe (unless there is already a standard one out there).  e.g.:

    $ brakeman . --url-safe-methods ensure_valid_protocol!

    link_to 'asdf', ensure_valid_protocol!(@scary, :javascript)
      3dc688ee
  23. 05 1月, 2012 1 次提交
  25. 23 12月, 2011 1 次提交
  27. 24 11月, 2011 1 次提交
  29. 23 11月, 2011 1 次提交
  31. 15 11月, 2011 2 次提交
  33. 11 11月, 2011 4 次提交
  35. 01 10月, 2011 1 次提交
  37. 09 9月, 2011 3 次提交
  39. 24 8月, 2011 1 次提交
  41. 18 8月, 2011 1 次提交
  43. 30 7月, 2011 2 次提交
  45. 26 7月, 2011 2 次提交
  47. 21 7月, 2011 1 次提交
  49. 19 7月, 2011 2 次提交