Gixy - Ferramenta de análise de configurações de segurança do Nginx

 (github.com/dvershinin)
12 pontos por GN⁺ 2025-02-19 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Ferramenta que analisa configurações do NGINX para encontrar vulnerabilidades de segurança
  • Tem como objetivo evitar erros de configuração de segurança e detectar vulnerabilidades automaticamente
  • É um fork ativo do Gixy original criado pela Yandex (sem commits há 2 anos)

Problemas que o Gixy pode detectar

  • SSRF (Server-Side Request Forgery): possibilidade de ataque de falsificação de requisição no lado do servidor
  • HTTP Splitting: possibilidade de ataque de divisão de resposta HTTP
  • Problemas na validação de Referrer/Origin: vulnerabilidades causadas por validação incompleta
  • Sobrescrita de add_header: problema de redefinição de cabeçalhos de resposta
  • Spoofing do cabeçalho Host: possibilidade de falsificação do cabeçalho Host da requisição
  • Erro de configuração de valid_referers: problema de segurança causado pela permissão do valor none
  • Cabeçalhos de resposta multilinha: problema de segurança causado por cabeçalhos de resposta com várias linhas
  • Path traversal causado por erro na configuração de alias: possibilidade de escapar do diretório devido a configuração incorreta de alias
  • Problemas no uso de instruções if: comportamento inesperado causado pelo uso de if dentro de blocos location
  • Erro de configuração de Allow: ausência da configuração Deny ao definir Allow
  • Problemas na configuração de Content-Type: problemas ao definir Content-Type com add_header
  • Problemas no uso de DNS externo: configuração de DNS vulnerável do ponto de vista de segurança
  • Exposição de informações de versão: exposição de informações de versão por meio da configuração server_tokens
  • Problemas na configuração de try_files: problema de segurança ao usar try_files sem open_file_cache
  • Problema de decodificação de caminho em proxy_pass: o caminho da URL é decodificado e normalizado automaticamente

Como usar

  • Por padrão, o Gixy tenta analisar a configuração do NGINX em /etc/nginx/nginx.conf
  • Também é possível especificar um caminho específico
    • Por exemplo, é possível encontrar vulnerabilidades de HTTP splitting
  • O Gixy também pode ser usado com pipe (entrada padrão)
  • Também é disponibilizado como imagem Docker
    • É necessário montar como volume a configuração a ser analisada e fornecer o caminho do arquivo de configuração ao executar a imagem do Gixy

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.