- NGINXの設定を分析してセキュリティ脆弱性を見つけ出すツール
- セキュリティ設定ミスを防ぎ、脆弱性の自動検出を目指す
- Yandexが作成したオリジナルのGixy(2年間コミットなし)の活発なフォーク
Gixyが検出できる問題
- SSRF(Server Side Request Forgery): サーバーサイドリクエストフォージェリ攻撃の可能性
- HTTP Splitting: HTTPレスポンス分割攻撃の可能性
- Referrer/Origin検証の問題: 不完全な検証によるセキュリティ脆弱性
- add_headerの上書き: レスポンスヘッダー上書きの問題
- Hostヘッダーのスプーフィング: リクエストのHostヘッダー偽装の可能性
- valid_referers設定ミス:
none値の許可によるセキュリティ問題
- 複数行レスポンスヘッダー: 複数行のレスポンスヘッダーによるセキュリティ問題
- alias設定ミスによるパストラバーサル: 誤ったalias設定によるディレクトリ脱出の可能性
- if文の使用問題: locationブロック内での
if使用による予期しない動作
- Allow設定ミス: Allow設定時にDeny設定が欠落する問題
- Content-Type設定の問題:
add_headerでContent-Typeを設定する場合の問題点
- 外部DNS使用の問題: セキュリティに弱いDNS設定
- バージョン情報の露出:
server_tokens設定によるバージョン情報の露出
- try_files設定の問題:
open_file_cacheなしでtry_filesを使用した場合のセキュリティ問題
- proxy_passのパスデコード問題: URLパスが自動的にデコードおよび正規化される問題
使い方
- デフォルトでGixyは
/etc/nginx/nginx.confにあるNGINX設定の分析を試みる
- 特定のパスを指定することも可能
- Gixyはパイプ(標準入力)にも対応
- Dockerイメージでも提供されている
- 分析する設定をボリュームとしてマウントし、Gixyイメージ実行時に設定ファイルのパスを指定する必要がある
まだコメントはありません。