Gixy–分析Nginx配置檔案的工具

• 找出伺服器端請求偽造。
• 驗證HTTP拆分。
• 驗證referrer/origin問題。
• 驗證是否正確透過add_header指令重新定義Response Headers。
• 驗證請求的主機頭是否偽造。
• 驗證valid_referers是否為空。
• 驗證是否存在多行主機頭。

Gixy是一個Python開發的應用，目前支援的Python版本是2.7和3.5+。

安裝步驟非常簡單，直接使用pip安裝即可：

$ pip install gixy

如果你的系統比較老，自帶Python版本比較低。可參考「使用pyenv搭建python虛擬環境」或者「如何在 上啟用軟體集Software Collections(SCL)」升級Python版本。

Gixy預設會檢查/etc/nginx/nginx.conf配置檔案。

$ gixy

也可以指定NGINX配置檔案所在的位置。

$ gixy /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0    Medium: 0
High: 0

來看一個http折分配置有問題的示例，修改Nginx配置：

server {
…
location ~ /v1/((?<action>[^.]*)/.json)?$ {
add_header X-Action $action;
}
…
}

再次執行Gixy檢查配置。

$ gixy /usr/local/nginx/conf/nginx.conf
==================== Results ===================
>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain “/n” may lead to http injection.
Additional info: 
Reason: At least variable “$action” can contain “/n”
Pseudo config:
server {
server_name localhost mike.hi-linux.com;
location ~ /v1/((?<action>[^.]*)/.json)?$ {
add_header X-Action $action;
}
}
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1

從結果可以看出檢測到了一個問題，指出問題型別為http_splitting。原因是$action變數中可以含有換行符。這就是HTTP響應頭拆分漏洞，透過CRLFZ注入實現攻擊。

如果你要暫時忽略某類錯誤檢查，可以使用--skips引數：

$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 0

更多使用方法可以參考gixy --help 。

原文來自： https://www.linuxprobe.com/file-security-analysis.html