- NGINX yapılandırmasını analiz ederek güvenlik açıklarını tespit eden araç
- Güvenlik yapılandırma hatalarını önlemeyi ve açıkları otomatik olarak tespit etmeyi amaçlar
- Yandex tarafından geliştirilen orijinal Gixy'nin (2 yıldır commit almıyor) aktif bir fork'udur
Gixy'nin tespit edebildiği sorunlar
- SSRF(Server Side Request Forgery): sunucu taraflı istek sahteciliği saldırısı olasılığı
- HTTP Splitting: HTTP yanıt bölme saldırısı olasılığı
- Referrer/Origin doğrulama sorunu: eksik doğrulama nedeniyle güvenlik açığı
add_header ezilmesi: yanıt başlıklarının yeniden tanımlanması sorunu- Host başlığı spoofing'i: istekteki Host başlığının sahte olabilmesi
valid_referers yapılandırma hatası: none değerine izin verilmesinden kaynaklanan güvenlik sorunu- Çok satırlı yanıt başlıkları: birden fazla satıra yayılan yanıt başlıklarından kaynaklanan güvenlik sorunu
alias yapılandırma hatasından kaynaklanan yol dolaşımı: hatalı alias ayarı nedeniyle dizin dışına çıkabilmeif ifadesi kullanım sorunu: location bloğu içinde if kullanımından kaynaklanan beklenmedik davranış- Allow yapılandırma hatası: Allow ayarlanırken Deny ayarının eksik bırakılması
- Content-Type yapılandırma sorunu:
add_header ile Content-Type ayarlanmasının doğurduğu problemler
- Harici DNS kullanımı sorunu: güvenlik açısından zayıf DNS yapılandırması
- Sürüm bilgisinin açığa çıkması:
server_tokens ayarı üzerinden sürüm bilgisinin ifşa edilmesi
try_files yapılandırma sorunu: open_file_cache olmadan try_files kullanıldığında oluşan güvenlik sorunuproxy_pass yol çözümleme sorunu: URL yolunun otomatik olarak decode edilmesi ve normalize edilmesi
Kullanım
- Varsayılan olarak Gixy,
/etc/nginx/nginx.conf içindeki NGINX yapılandırmasını analiz etmeye çalışır
- Belirli bir yol da belirtilebilir
- Örneğin HTTP splitting zafiyeti bulunabilir
- Gixy, pipe (standart girdi) ile de kullanılabilir
- Docker imajı olarak da sunulur
- Analiz edilecek yapılandırma volume olarak mount edilmeli ve Gixy imajı çalıştırılırken yapılandırma dosyasının yolu verilmelidir
Henüz yorum yok.