Gixy - Nginx güvenlik yapılandırması analiz aracı
(github.com/dvershinin)- NGINX yapılandırmasını analiz ederek güvenlik açıklarını tespit eden araç
- Güvenlik yapılandırma hatalarını önlemeyi ve açıkları otomatik olarak tespit etmeyi amaçlar
- Yandex tarafından geliştirilen orijinal Gixy'nin (2 yıldır commit almıyor) aktif bir fork'udur
Gixy'nin tespit edebildiği sorunlar
- SSRF(Server Side Request Forgery): sunucu taraflı istek sahteciliği saldırısı olasılığı
- HTTP Splitting: HTTP yanıt bölme saldırısı olasılığı
- Referrer/Origin doğrulama sorunu: eksik doğrulama nedeniyle güvenlik açığı
add_headerezilmesi: yanıt başlıklarının yeniden tanımlanması sorunu- Host başlığı spoofing'i: istekteki Host başlığının sahte olabilmesi
valid_referersyapılandırma hatası:nonedeğerine izin verilmesinden kaynaklanan güvenlik sorunu- Çok satırlı yanıt başlıkları: birden fazla satıra yayılan yanıt başlıklarından kaynaklanan güvenlik sorunu
aliasyapılandırma hatasından kaynaklanan yol dolaşımı: hatalıaliasayarı nedeniyle dizin dışına çıkabilmeififadesi kullanım sorunu:locationbloğu içindeifkullanımından kaynaklanan beklenmedik davranış- Allow yapılandırma hatası: Allow ayarlanırken Deny ayarının eksik bırakılması
- Content-Type yapılandırma sorunu:
add_headerile Content-Type ayarlanmasının doğurduğu problemler - Harici DNS kullanımı sorunu: güvenlik açısından zayıf DNS yapılandırması
- Sürüm bilgisinin açığa çıkması:
server_tokensayarı üzerinden sürüm bilgisinin ifşa edilmesi try_filesyapılandırma sorunu:open_file_cacheolmadantry_fileskullanıldığında oluşan güvenlik sorunuproxy_passyol çözümleme sorunu: URL yolunun otomatik olarak decode edilmesi ve normalize edilmesi
Kullanım
- Varsayılan olarak Gixy,
/etc/nginx/nginx.confiçindeki NGINX yapılandırmasını analiz etmeye çalışır - Belirli bir yol da belirtilebilir
- Örneğin HTTP splitting zafiyeti bulunabilir
- Gixy, pipe (standart girdi) ile de kullanılabilir
- Docker imajı olarak da sunulur
- Analiz edilecek yapılandırma volume olarak mount edilmeli ve Gixy imajı çalıştırılırken yapılandırma dosyasının yolu verilmelidir
Henüz yorum yok.