Gixy - Ferramenta de análise de configurações de segurança do Nginx
(github.com/dvershinin)- Ferramenta que analisa configurações do NGINX para encontrar vulnerabilidades de segurança
- Tem como objetivo evitar erros de configuração de segurança e detectar vulnerabilidades automaticamente
- É um fork ativo do Gixy original criado pela Yandex (sem commits há 2 anos)
Problemas que o Gixy pode detectar
- SSRF (Server-Side Request Forgery): possibilidade de ataque de falsificação de requisição no lado do servidor
- HTTP Splitting: possibilidade de ataque de divisão de resposta HTTP
- Problemas na validação de Referrer/Origin: vulnerabilidades causadas por validação incompleta
- Sobrescrita de
add_header: problema de redefinição de cabeçalhos de resposta - Spoofing do cabeçalho Host: possibilidade de falsificação do cabeçalho Host da requisição
- Erro de configuração de
valid_referers: problema de segurança causado pela permissão do valornone - Cabeçalhos de resposta multilinha: problema de segurança causado por cabeçalhos de resposta com várias linhas
- Path traversal causado por erro na configuração de
alias: possibilidade de escapar do diretório devido a configuração incorreta dealias - Problemas no uso de instruções
if: comportamento inesperado causado pelo uso deifdentro de blocoslocation - Erro de configuração de Allow: ausência da configuração Deny ao definir Allow
- Problemas na configuração de Content-Type: problemas ao definir Content-Type com
add_header - Problemas no uso de DNS externo: configuração de DNS vulnerável do ponto de vista de segurança
- Exposição de informações de versão: exposição de informações de versão por meio da configuração
server_tokens - Problemas na configuração de
try_files: problema de segurança ao usartry_filessemopen_file_cache - Problema de decodificação de caminho em
proxy_pass: o caminho da URL é decodificado e normalizado automaticamente
Como usar
- Por padrão, o Gixy tenta analisar a configuração do NGINX em
/etc/nginx/nginx.conf - Também é possível especificar um caminho específico
- Por exemplo, é possível encontrar vulnerabilidades de HTTP splitting
- O Gixy também pode ser usado com pipe (entrada padrão)
- Também é disponibilizado como imagem Docker
- É necessário montar como volume a configuração a ser analisada e fornecer o caminho do arquivo de configuração ao executar a imagem do Gixy
Ainda não há comentários.