日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Gixy的安裝和使用方法

Gixy 是一款用來分析 Nginx 配置的工具。 Gixy 的主要目標(biāo)是防止安全配置錯(cuò)誤,并自動(dòng)進(jìn)行缺陷檢測,下面為大家分享一下Gixy的安裝和使用方法。

Gixy特性

  • 找出服務(wù)器端請(qǐng)求偽造。
  • 驗(yàn)證HTTP拆分。
  • 驗(yàn)證referrer/origin問題。
  • 驗(yàn)證是否正確通過add_header指令重新定義Response Headers。
  • 驗(yàn)證請(qǐng)求的主機(jī)頭是否偽造。
  • 驗(yàn)證valid_referers是否為空。
  • 驗(yàn)證是否存在多行主機(jī)頭。

Gixy安裝

Gixy是一個(gè)Python開發(fā)的應(yīng)用,目前支持的Python版本是2.7和3.5+。

安裝步驟非常簡單,直接使用pip安裝即可:

$ pip install gixy

如果你的系統(tǒng)比較老,自帶Python版本比較低??蓞⒖肌甘褂胮yenv搭建python虛擬環(huán)境」或者「如何在CentOS上啟用軟件集Software Collections(SCL)」升級(jí)Python版本。

Gixy使用

Gixy默認(rèn)會(huì)檢查/etc/nginx/nginx.conf配置文件。

$ gixy

也可以指定NGINX配置文件所在的位置。

$ gixy /usr/local/nginx/conf/nginx.conf

==================== Results ===================

No issues found.

==================== Summary ===================

Total issues:

Unspecified: 0

Low: 0    Medium: 0

High: 0

來看一個(gè)http折分配置有問題的示例,修改Nginx配置:

server {

…

location ~ /v1/((?
  
   [^.]*)/.json)?$ { add_header X-Action 
   $action; } … }

再次運(yùn)行Gixy檢查配置。

$ gixy /usr/local/nginx/conf/nginx.conf

==================== Results ===================

>> Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain “/n” may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/httpsplitting.md
Reason: At least variable “$action” can contain “/n”
Pseudo config:

server {
server_name localhost mike.hi-linux.com;

location ~ /v1/((?
  
   [^.]*)/.json)?$ { add_header X-Action 
   $action; } } ==================== Summary =================== Total issues: Unspecified: 0 Low: 0 Medium: 0 High: 1

從結(jié)果可以看出檢測到了一個(gè)問題,指出問題類型為http_splitting。原因是$action變量中可以含有換行符。這就是HTTP響應(yīng)頭拆分漏洞,通過CRLFZ注入實(shí)現(xiàn)攻擊。

如果你要暫時(shí)忽略某類錯(cuò)誤檢查,可以使用–skips參數(shù):

$ gixy –skips http_splitting /usr/local/nginx/conf/nginx.conf
==================== Results ===================
No issues found.

==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 0

標(biāo)題名稱:Gixy的安裝和使用方法
標(biāo)題來源:http://www.5511xx.com/article/djghsjs.html