«Яндекс» выпустил Gixy, статический анализатор файлов конфигурации nginx

Исходный код проекта Gixy был опубликован компанией Яндекс. Он нацелен на анализ файлов конфигурации nginx и выявления настроек, негативно влияющих на безопасность. Проект реализован на Python под лицензией MPL 2.0.

Gixy содержит следующие плагины:

• add_header_multiline — выявляет наличие многострочных заголовков ответа;
• add_header_redefinition — находит проблемы с переопределением «вышестоящих» заголовков ответа директивой add_header;
• host_spoofing — определяет возможность подмены заголовка Host;
• http_splitting — выявляет уязвимость HTTP Splitting, которая может использоваться для атак на приложение или клиентов приложения, основана на неправильной обработке входных данных;
• origins — находит проблемы с проверкой заголовка запроса Referer или Origin, возникающие из-за неверного составления регулярного выражения;
• ssrf — определяет уязвимость Server Side Request Forgery, которая позволяет выполнять различные запросы от имени Nginx. Проблема возникает, когда атакующий может контролировать адрес проксируемого сервера (второй аргумент директивы proxy_pass);
• valid_referers — выявляет проблемы при конфигурировании модуля ngx_http_referer_module, вызванные использованием "none" в качестве принимаемого значения заголовка Referer.