Gixy–分析Nginx配置文件的工具
2017-08-29 00:00
991 查看
Gixy是一款用来分析Nginx配置文件的工具。 Gixy的主要目标是防止安全配置错误,并自动进行缺陷检测。
Gixy特性
找出服务器端请求伪造。
验证HTTP拆分。
验证referrer/origin问题。
验证是否正确通过add_header指令重新定义Response Headers。
验证请求的主机头是否伪造。
验证valid_referers是否为空。
验证是否存在多行主机头。
Gixy安装
Gixy是一个Python开发的应用,目前支持的Python版本是2.7和3.5+。
安装步骤非常简单,直接使用pip安装即可:
如果你的系统比较老,自带Python版本比较低。可参考「使用pyenv搭建python虚拟环境」或者「如何在CentOS上启用软件集Software Collections(SCL)」升级Python版本。
Gixy使用
Gixy默认会检查/etc/nginx/nginx.conf配置文件。
也可以指定NGINX配置文件所在的位置。
来看一个http折分配置有问题的示例,修改Nginx配置:
再次运行Gixy检查配置。
从结果可以看出检测到了一个问题,指出问题类型为http_splitting。原因是$action变量中可以含有换行符。这就是HTTP响应头拆分漏洞,通过CRLFZ注入实现攻击。
如果你要暂时忽略某类错误检查,可以使用--skips参数:
更多使用方法可以参考gixy --help命令。
原文来自:http://www.yunweipai.com/archives/18662.html
本文地址:http://www.linuxprobe.com/file-security-analysis.html
Gixy特性
找出服务器端请求伪造。
验证HTTP拆分。
验证referrer/origin问题。
验证是否正确通过add_header指令重新定义Response Headers。
验证请求的主机头是否伪造。
验证valid_referers是否为空。
验证是否存在多行主机头。
Gixy安装
Gixy是一个Python开发的应用,目前支持的Python版本是2.7和3.5+。
安装步骤非常简单,直接使用pip安装即可:
$ pip install gixy
如果你的系统比较老,自带Python版本比较低。可参考「使用pyenv搭建python虚拟环境」或者「如何在CentOS上启用软件集Software Collections(SCL)」升级Python版本。
Gixy使用
Gixy默认会检查/etc/nginx/nginx.conf配置文件。
$ gixy
也可以指定NGINX配置文件所在的位置。
$ gixy /usr/local/nginx/conf/nginx.conf ==================== Results =================== No issues found. ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 0
来看一个http折分配置有问题的示例,修改Nginx配置:
server { … location ~ /v1/((?<action>[^.]*)/.json)?$ { add_header X-Action $action; } … }
再次运行Gixy检查配置。
$ gixy /usr/local/nginx/conf/nginx.conf ==================== Results =================== >> Problem: [http_splitting] Possible HTTP-Splitting vulnerability. Description: Using variables that can contain “/n” may lead to http injection. Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md Reason: At least variable “$action” can contain “/n” Pseudo config: server { server_name localhost mike.hi-linux.com; location ~ /v1/((?<action>[^.]*)/.json)?$ { add_header X-Action $action; } } ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 1
从结果可以看出检测到了一个问题,指出问题类型为http_splitting。原因是$action变量中可以含有换行符。这就是HTTP响应头拆分漏洞,通过CRLFZ注入实现攻击。
如果你要暂时忽略某类错误检查,可以使用--skips参数:
$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf ==================== Results =================== No issues found. ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 0
更多使用方法可以参考gixy --help命令。
原文来自:http://www.yunweipai.com/archives/18662.html
本文地址:http://www.linuxprobe.com/file-security-analysis.html
相关文章推荐
- Gixy–分析Nginx配置文件的工具
- nginx之配置文件分析与开源软件配置文件结构设计
- Nginx 源码分析-- 模块module 解析执行 nginx.conf 配置文件流程分析 一
- Nginx(3)-nginx配置文件详解-nginx主配置段分析
- Nginx系列教程之二:nginx 配置文件分析以及基本站点搭建
- nginx配置文件解析过程分析
- Nginx配置文件经典教程分析
- AWStats 日志分析工具【配置分析其他服务器nginx日志】
- Nginx源码分析 - 主流程篇 - 解析配置文件
- 借用nginx.vim工具进行语法高亮和格式化配置nginx.conf文件
- 日志文件分析工具—AWStats在IIS中的配置步骤
- nginx 配置文件分析以及配置负载均衡器
- nginx.conf配置文件分析
- nginx 安装阶段整个项目的配置文件分析
- 日志文件分析工具—AWStats在IIS中的配置步骤
- Nginx情景分析之配置文件解析
- nginx源码分析--配置文件解析
- Nginx 源码分析-- 模块module 解析执行 nginx.conf 配置文件流程分析 二
- 日志文件分析工具-AWStats在IIS 6.0中的配置步骤
- nginx源码分析--配置文件详解