Nginx配置檔案安全分析工具:Gixy
Gixy是一款用來分析Nginx配置檔案的工具。 Gixy的主要目標是防止安全配置錯誤,並自動進行缺陷檢測。
Gixy特性
- 找出伺服器端請求偽造。
- 驗證HTTP拆分。
- 驗證referrer/origin問題。
- 驗證是否正確通過add_header指令重新定義Response Headers。
- 驗證請求的主機頭是否偽造。
- 驗證valid_referers是否為空。
- 驗證是否存在多行主機頭。
Gixy安裝
Gixy是一個Python開發的應用,目前支援的Python版本是2.7和3.5+。
安裝步驟非常簡單,直接使用pip安裝即可:
$ pip install gixy
Gixy使用
Gixy預設會檢查/etc/nginx/nginx.conf
$ gixy
也可以指定NGINX配置檔案所在的位置。
$ gixy /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0 Medium: 0
High: 0
來看一個http折分配置有問題的示例,修改Nginx配置:
server {
…
location ~ /v1/((?<action>[^.]*)\.json)?$ {
add_header X-Action $action;
}
…}
再次執行Gixy檢查配置。
$ gixy /usr/local/nginx/conf/nginx.conf
==================== Results ===================
>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain “\n” may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
Reason: At least variable “$action” can contain “\n”
Pseudo config:server {
server_name localhost mike.hi-linux.com;location ~ /v1/((?<action>[^.]*)\.json)?$ {
add_header X-Action $action;
}
}==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1
從結果可以看出檢測到了一個問題,指出問題型別為http_splitting。原因是$action變數中可以含有換行符。這就是HTTP響應頭拆分漏洞,通過CRLFZ注入實現攻擊。
如果你要暫時忽略某類錯誤檢查,可以使用--skips引數:
$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 0
更多使用方法可以參考gixy --help命令。
參考文件
http://www.google.comhttps://github.com/yandex/gixy
文章來自微信公眾號:運維之美