Gixy – Alat untuk menganalisis fail konfigurasi Nginx

Gixy ialah alat yang digunakan untuk menganalisis fail konfigurasi Nginx. Matlamat utama Gixy adalah untuk mengelakkan salah konfigurasi keselamatan dan mengautomasikan pengesanan kecacatan.

Ciri Gixy

• Ketahui pemalsuan permintaan sebelah pelayan.
• Sahkan pemisahan HTTP.
• Sahkan isu perujuk/asal.
• Sahkan sama ada Pengepala Respons ditakrifkan semula dengan betul melalui arahan add_header.
• Sahkan sama ada pengepala hos yang diminta dipalsukan.
• Sahkan perujuk_yang sah kosong.
• Sahkan bahawa pengepala hos berbilang baris hadir.

Pemasangan Gixy

Gixy ialah aplikasi yang dibangunkan dalam Python Versi Python yang disokong pada masa ini ialah 2.7 dan 3.5+.

Langkah pemasangan sangat mudah, hanya gunakan pip untuk memasang terus:

$ pip install gixy

Jika sistem anda lebih lama, versi Python yang disertakan bersamanya adalah lebih rendah. Anda boleh merujuk kepada "Menggunakan pyenv untuk membina persekitaran maya python" atau "Cara mendayakan Koleksi Perisian (SCL) pada CentOS" untuk menaik taraf versi Python.

Penggunaan Gixy

Gixy akan menyemak fail konfigurasi /etc/nginx/nginx.conf secara lalai.

$ gixy

Anda juga boleh menentukan lokasi fail konfigurasi NGINX.

$ gixy /usr/local/nginx/conf/nginx.conf

==================== Results ===================

No issues found.

==================== Summary ===================

Total issues:

Unspecified: 0

Low: 0    Medium: 0

High: 0

Mari kita lihat contoh masalah dengan konfigurasi diskaun http Ubah suai konfigurasi Nginx:

server {

…

location ~ /v1/((?<action>[^.]*)/.json)?$ {
add_header X-Action $action;
}
…

}

Jalankan Gixy sekali lagi untuk menyemak konfigurasi.

$ gixy /usr/local/nginx/conf/nginx.conf

==================== Results ===================

>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain “/n” may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
Reason: At least variable “$action” can contain “/n”
Pseudo config:

server {
server_name localhost mike.hi-linux.com;

location ~ /v1/((?<action>[^.]*)/.json)?$ {
add_header X-Action $action;
}
}

==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1

Dapat dilihat daripada keputusan bahawa masalah telah dikesan, menunjukkan bahawa jenis masalah adalah http_splitting. Sebabnya ialah pembolehubah $action boleh mengandungi baris baharu. Ini ialah kerentanan pemisahan pengepala respons HTTP, yang diserang melalui suntikan CRLFZ.

Jika anda ingin mengabaikan jenis semakan ralat tertentu buat sementara waktu, anda boleh menggunakan parameter --skip:

$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.

==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 0

Untuk lebih banyak kaedah penggunaan, sila rujuk arahan gixy --help.

Atas ialah kandungan terperinci Gixy – Alat untuk menganalisis fail konfigurasi Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!