应用错误收集

你无法真正定义“覆盖”OWASP Top 10的东西，因为它们是漏洞的类别，有时非常广泛。

A1注射

Brakeman检测到SQL注入和命令注入。

A2破解身份验证和会话管理

Brakeman警告不安全的Basic Auth使用和糟糕的会话设置。但是，A2实际上是关于应用程序如何实现身份验证和会话管理。检测这是否做得很差是非常困难的。

A3跨站点脚本（XSS）

Brakeman警告XSS的许多实例和变体。

A4不安全的直接对象引用

Brakeman可选择检查unscoped finds，这是IDOR的一个实例。

A5安全配置错误

这通常是服务器级问题，而且非常广泛。 Brakeman确实检测到SSL verification is turned off for HTTP calls。

A6敏感数据曝光

A6主要是关于存储/传输未加密的数据。 Brakeman没有发现这一点。

A7缺少功能级别访问控制

Brakeman没有发现这一点。很难猜出应该和不应该有什么访问控制。

A8跨站请求伪造（CSRF）

Brakeman警告禁用CSRF保护和不安全配置。

A9使用具有已知漏洞的组件

Brakeman只警告Rails中的CVE。将bundler-audit用于其他依赖项。

A10未经验证的重定向和转发

Brakeman警告open redirects。

请记住，OWASP Top 10是一个很好的资源，但并非详尽无遗（只是“前十名”）。 Brakeman的warning categories将让您了解它检测到的其他问题。