Gixy–分析Nginx配置文件的工具

111次阅读

没有评论

共计 1714 个字符，预计需要花费 5 分钟才能阅读完成。

Gixy 是一款用来分析 Nginx 配置文件的工具。Gixy 的主要目标是防止安全配置错误，并自动进行缺陷检测。

Gixy 特性

找出服务器端请求伪造。
验证 HTTP 拆分。
验证 referrer/origin 问题。
验证是否正确通过 add_header 指令重新定义 Response Headers。
验证请求的主机头是否伪造。
验证 valid_referers 是否为空。
验证是否存在多行主机头。

Gixy 安装

Gixy 是一个 Python 开发的应用，目前支持的 Python 版本是 2.7 和 3.5+。

安装步骤非常简单，直接使用 pip 安装即可：

$ pip install gixy

如果你的系统比较老，自带 Python 版本比较低。可参考「使用 pyenv 搭建 python 虚拟环境」或者「如何在 CentOS 上启用软件集 Software Collections(SCL)」升级 Python 版本。

Gixy 使用

Gixy 默认会检查 /etc/nginx/nginx.conf 配置文件。

$ gixy

也可以指定 NGINX 配置文件所在的位置。

 $ gixy /usr/local/nginx/conf/nginx.conf
 
==================== Results ===================
 
No issues found.
 
==================== Summary ===================
 
Total issues:
 
Unspecified: 0
 
Low: 0    Medium: 0
 
High: 0

来看一个 http 折分配置有问题的示例，修改 Nginx 配置：

 server {
 
…
 
location ~ /v1/((?<action>[^.]*)/.json)?$ {add_header X-Action $action;}
…
 
}

再次运行 Gixy 检查配置。

 $ gixy /usr/local/nginx/conf/nginx.conf
 
==================== Results ===================
 
>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain“/n”may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
Reason: At least variable“$action”can contain“/n”Pseudo config:
 
server {
server_name localhost mike.hi-linux.com;
 
location ~ /v1/((?<action>[^.]*)/.json)?$ {add_header X-Action $action;}
}
 
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1

从结果可以看出检测到了一个问题，指出问题类型为 http_splitting。原因是 $action 变量中可以含有换行符。这就是 HTTP 响应头拆分漏洞，通过 CRLFZ 注入实现攻击。

如果你要暂时忽略某类错误检查，可以使用 –skips 参数：

 $ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.
 
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 0

更多使用方法可以参考 gixy –help 命令。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年，有高配

腾讯云新客低至 82 元 / 年，老客户 99 元 / 年

代金券：在阿里云专用满减优惠券

正文完

星哥玩云-微信公众号

发表至： linux教程

2024-07-24

0

转载说明：除特殊说明外本站文章皆由CC-4.0协议发布，转载请注明出处。

分享Linux Grep高级用户指南

循环语句练习案例

算法的分析思路

Linux进程管理之watch命令解析【每日一个知识点第116期-Linux】

HTTP/HTTPS自动加密上网方案

详解：Linux中设置SSH无密码安全登录

了解下C# 基本语法

Git bisect 命令帮助定位首次引入错误的提交

w命令详解

Gixy–分析Nginx配置文件的工具

开源堡垒机JumpServer配置教程：使用步骤与配置

申请腾讯混元的API Key并且使用LobeChat调用混元AI

【开源安全保护】如何安装JumpServer堡垒机

基于Docker快速搭建一个开源的IT人员在线工具箱-it-tools

Docker部署搭建一个开源强大的图书管理系统

网页绘图API——WebGL

腾讯云服务器买一年送3个月优惠：2核、4核、8核和16核配置价格表

查看linux中所有用户的三种方式

聊聊：linux的那些常见目录

把浏览器中写代码，春节假期也要’愉快’的coding

	$ gixy /usr/local/nginx/conf/nginx.conf

	==================== Results ===================

	No issues found.

	==================== Summary ===================

	Total issues:

	Unspecified: 0

	Low: 0 Medium: 0

	High: 0

	server {

	…

	location ~ /v1/((?<action>[^.]*)/.json)?$ {add_header X-Action $action;}
	…

	}

	$ gixy /usr/local/nginx/conf/nginx.conf

	==================== Results ===================

	>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
	Description: Using variables that can contain“/n”may lead to http injection.
	Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
	Reason: At least variable“$action”can contain“/n”Pseudo config:

	server {
	server_name localhost mike.hi-linux.com;

	location ~ /v1/((?<action>[^.]*)/.json)?$ {add_header X-Action $action;}
	}

	==================== Summary ===================
	Total issues:
	Unspecified: 0
	Low: 0
	Medium: 0
	High: 1

	$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
	==================== Results ===================
	No issues found.

	==================== Summary ===================
	Total issues:
	Unspecified: 0
	Low: 0
	Medium: 0
	High: 0