溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹了如何安裝和使用Gixy,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
Gixy 是一款用來分析 Nginx 配置的工具。 Gixy 的主要目標是防止安全配置錯誤,并自動進行缺陷檢測。
Gixy是一個Python開發的應用,目前支持的Python版本是2.7和3.5+。
安裝步驟非常簡單,直接使用pip安裝即可:
$ pip install gixy
如果你的系統比較老,自帶Python版本比較低。可參考「使用pyenv搭建python虛擬環境」或者「如何在CentOS上啟用軟件集Software Collections(SCL)」升級Python版本。
Gixy默認會檢查/etc/nginx/nginx.conf配置文件。
$ gixy
也可以指定NGINX配置文件所在的位置。
$ gixy /usr/local/nginx/conf/nginx.conf ==================== Results =================== No issues found. ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 0
來看一個http折分配置有問題的示例,修改Nginx配置:
server {
…
location ~ /v1/((?[^.]*)/.json)?$ {
add_header X-Action $action;
}
…
}再次運行Gixy檢查配置。
$ gixy /usr/local/nginx/conf/nginx.conf
==================== Results ===================
>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain “/n” may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
Reason: At least variable “$action” can contain “/n”
Pseudo config:
server {
server_name localhost mike.hi-linux.com;
location ~ /v1/((?[^.]*)/.json)?$ {
add_header X-Action $action;
}
}
==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1從結果可以看出檢測到了一個問題,指出問題類型為http_splitting。原因是$action變量中可以含有換行符。這就是HTTP響應頭拆分漏洞,通過CRLFZ注入實現攻擊。
如果你要暫時忽略某類錯誤檢查,可以使用–skips參數:
$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf ==================== Results =================== No issues found. ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 0
感謝你能夠認真閱讀完這篇文章,希望小編分享的“如何安裝和使用Gixy”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
