Что нового
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

«яндекс» Выпустил Gixy, Статический Анализатор Файлов Конфигурации Nginx

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,071
Баллы
155
Возраст
52
Исходный код проекта Gixy был опубликован компанией Яндекс. Он нацелен на анализ файлов конфигурации nginx и выявления настроек, негативно влияющих на безопасность.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

реализован на Python под лицензией MPL 2.0.

Gixy содержит следующие плагины:


  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — выявляет наличие многострочных заголовков ответа;

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — находит проблемы с переопределением «вышестоящих» заголовков ответа директивой add_header;

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — определяет возможность подмены заголовка Host;

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — выявляет уязвимость HTTP Splitting, которая может использоваться для атак на приложение или клиентов приложения, основана на неправильной обработке входных данных;

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — находит проблемы с проверкой заголовка запроса Referer или Origin, возникающие из-за неверного составления регулярного выражения;

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — определяет уязвимость Server Side Request Forgery, которая позволяет выполнять различные запросы от имени Nginx. Проблема возникает, когда атакующий может контролировать адрес проксируемого сервера (второй аргумент директивы proxy_pass);

  • Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

    — выявляет проблемы при конфигурировании модуля ngx_http_referer_module, вызванные использованием "none" в качестве принимаемого значения заголовка Referer.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх