- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 52
Исходный код проекта Gixy был опубликован компанией Яндекс. Он нацелен на анализ файлов конфигурации nginx и выявления настроек, негативно влияющих на безопасность. реализован на Python под лицензией MPL 2.0.
Gixy содержит следующие плагины:
— .
Gixy содержит следующие плагины:
- — выявляет наличие многострочных заголовков ответа;
- — находит проблемы с переопределением «вышестоящих» заголовков ответа директивой add_header;
- — определяет возможность подмены заголовка Host;
- — выявляет уязвимость HTTP Splitting, которая может использоваться для атак на приложение или клиентов приложения, основана на неправильной обработке входных данных;
- — находит проблемы с проверкой заголовка запроса Referer или Origin, возникающие из-за неверного составления регулярного выражения;
- — определяет уязвимость Server Side Request Forgery, которая позволяет выполнять различные запросы от имени Nginx. Проблема возникает, когда атакующий может контролировать адрес проксируемого сервера (второй аргумент директивы proxy_pass);
- — выявляет проблемы при конфигурировании модуля ngx_http_referer_module, вызванные использованием "none" в качестве принимаемого значения заголовка Referer.
— .