Gixy - Tool zur Analyse von Nginx-Sicherheitskonfigurationen
(github.com/dvershinin)- Ein Tool, das NGINX-Konfigurationen analysiert und Sicherheitslücken aufspürt
- Ziel ist es, Fehler in Sicherheitskonfigurationen zu verhindern und Schwachstellen automatisch zu erkennen
- Ein aktiv gepflegter Fork des ursprünglichen Gixy von Yandex (seit 2 Jahren ohne Commits)
Probleme, die Gixy erkennen kann
- SSRF (Server Side Request Forgery): Möglichkeit von serverseitigen Request-Forgery-Angriffen
- HTTP Splitting: Möglichkeit von HTTP-Response-Splitting-Angriffen
- Probleme bei der Referrer-/Origin-Prüfung: Sicherheitslücken durch unvollständige Validierung
- Überschreiben von
add_header: Probleme durch das Überschreiben von Response-Headern - Spoofing des Host-Headers: Möglichkeit zur Fälschung des
Host-Headers einer Anfrage - Fehlkonfiguration von
valid_referers: Sicherheitsprobleme durch das Zulassen des Wertsnone - Mehrzeilige Response-Header: Sicherheitsprobleme durch mehrzeilige Response-Header
- Pfad-Traversal durch Alias-Fehlkonfiguration: Möglichkeit zum Verzeichnisausbruch durch falsche
alias-Einstellungen - Probleme bei der Verwendung von
if-Anweisungen: Unerwartetes Verhalten durch die Verwendung vonifinnerhalb vonlocation-Blöcken - Fehlerhafte
allow-Einstellungen: Probleme, wenn beiallowdie passendedeny-Konfiguration fehlt - Probleme mit der Content-Type-Konfiguration: Schwierigkeiten, wenn Content-Type mit
add_headergesetzt wird - Probleme bei der Verwendung externer DNS: Unsichere DNS-Konfigurationen
- Offenlegung von Versionsinformationen: Preisgabe von Versionsinformationen über die Einstellung
server_tokens - Probleme mit der
try_files-Konfiguration: Sicherheitsprobleme bei der Verwendung vontry_filesohneopen_file_cache - Probleme bei der Pfad-Dekodierung in
proxy_pass: URL-Pfade werden automatisch dekodiert und normalisiert
Verwendung
- Standardmäßig versucht Gixy, die NGINX-Konfiguration in
/etc/nginx/nginx.confzu analysieren - Es kann auch ein bestimmter Pfad angegeben werden
- Zum Beispiel, um eine HTTP-Splitting-Schwachstelle zu finden
- Gixy kann auch mit einer Pipe (Standardeingabe) verwendet werden
- Es wird auch als Docker-Image bereitgestellt
- Die zu analysierende Konfiguration muss als Volume gemountet werden, und beim Start des Gixy-Images muss der Pfad zur Konfigurationsdatei angegeben werden
Noch keine Kommentare.