«Яндекс» выпустил Gixy, статический анализатор файлов конфигурации nginx

Gixy

Исходный код проекта Gixy был опубликован компанией Яндекс. Он нацелен на анализ файлов конфигурации nginx и выявления настроек, негативно влияющих на безопасность. Проект реализован на Python под лицензией MPL 2.0.

Gixy содержит следующие плагины:

  • add_header_multiline — выявляет наличие многострочных заголовков ответа;
  • add_header_redefinition — находит проблемы с переопределением «вышестоящих» заголовков ответа директивой add_header;
  • host_spoofing — определяет возможность подмены заголовка Host;
  • http_splitting — выявляет уязвимость HTTP Splitting, которая может использоваться для атак на приложение или клиентов приложения, основана на неправильной обработке входных данных;
  • origins — находит проблемы с проверкой заголовка запроса Referer или Origin, возникающие из-за неверного составления регулярного выражения;
  • ssrf — определяет уязвимость Server Side Request Forgery, которая позволяет выполнять различные запросы от имени Nginx. Проблема возникает, когда атакующий может контролировать адрес проксируемого сервера (второй аргумент директивы proxy_pass);
  • valid_referers — выявляет проблемы при конфигурировании модуля ngx_http_referer_module, вызванные использованием "none" в качестве принимаемого значения заголовка Referer.

Источник: GitHub