N

arzędzie o nazwie gixy zostało stworzone w celu możliwości przeprowadzenia statycznej analizy pliku konfiguracyjnego serwera nginx. Pozwala on znaleźć błędy w konfiguracji, które mogą doprowadzić do powstania m.in. następujących luk:

– Server Side Request Forgery
– Request Host Header Forgery
– HTTP Splitting
– Refferer/origin validation

Instalację gixy możemy przeprowadzić za pomocą pythonowego PyPI (aktualnie obsługiwany jest Python w wersji 2.7 oraz 3.5+):

pip install gixy

W celu przeprowadzenia audytu wystarczy wydać polecenie:

gixy /etc/nginx/nginx.conf

Jeśli żadne błędy w konfiguracji naszego serwera nie zostaną znalezione powinniśmy otrzymać następujący komunikat:

==================== Results ===================
No issues found.

==================== Summary ===================
Total issues:
    Unspecified: 0
    Low: 0
    Medium: 0
    High: 0

W przeciwnym wypadku otrzymamy informację o liczbie znalezionych błędów oraz odesłanie do szczegółowego opisu pomyłki w konfiguracji:

Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain "\n" may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/ru/plugins/httpsplitting.md
Reason: At least variable "$action" can contain "\n"

Jeśli chcemy dodać nowe testy, których według nas brakuje w projekcie to autor z chęcią przyjmuje pull requesty lub propozycje ulepszeń poprzez issue.

Więcej informacji: GIXY