https://opennet.ru/openforum/vsluhforumID3/111219.html Компания Яндекс опубликовала (https://github.com/yandex/gixy) исходные тексты проекта Gixy, в рамках которого развивается статистический анализатор, предназначенный для выявления проблемных настроек в файлах конфигурации nginx, которые могут отрицательно повлиять на безопасность. Код написан на языке Python и распространяется (https://github.com/yandex/gixy) под лицензией MPL 2.0.<br><br><br>В настоящее время Gixy включает следующие плагины, выявляющие различные классы проблем:<br><br><br>- ssrf (https://github.com/yandex/gixy/blob/master/docs/ru/plugins/ssrf.md) - выявляет уязвимость Server Side Request Forgery, позволяющую выполнять различного рода запросы от имени Nginx. Проблема возникает, когда атакующий может контролировать адрес проксируемого сервера (второй аргумент директивы proxy_pass);<br>- http_splitting (https://github.com/yandex/gixy/blob/master/docs/ru/plugins/httpsplitting.md) - выявляет уязвимость HTTP Splitting, возникающую из-за неправильной обработки входных данных. Уязвимость может применяться для ат https://opennet.ru/openforum/vsluhforumID3/111219.html#45 Sun, 14 May 2017 07:24:14 GMT &gt; список рассылки нгинкса вам в помощь<br><br>я что-то очень сомневаюсь, что вы там увидите хоть один кусок конфига крупных проектов, и совершенно уверен, что не увидите его целиком, что позволило бы оценить масштабы бедствия.<br><br>локалхост админы, такие локалхост админы - думают, что то что они видят вокруг себя ("список рассылки" в том числе) - это и есть весь мир.<br><br>для тех, кому непонятно, почему оно так - разжевываю: если бы во времена работы в данной области я наткнулся на какие-то проблемы с конфигурацией - я бы просто потыкал палочкой в старшего товарища, через стол. Если бы, внезапно, оказалось что это какая-то серьезная проблема, а не я чего-то не понял - мы бы оторвали задницы, и дошли в соседнюю комнату - где сидела группа разработки (мы не яндекс, у нас компания была маленькая - те во внутреннюю рассылку бы писали, и неделю ждали снисхождения). Там либо разжевали бы нам, что оно вот так и задумано, а мы не поняли глубины идеи (впрочем, "либо" тут лишнее ;-) либо с пятого раза удалось бы их убедить, чт https://opennet.ru/openforum/vsluhforumID3/111219.html#44 Sat, 13 May 2017 21:59:38 GMT &gt; Вот я и спрашиваю, что это за ошибки такие могут быть, что <br><br>я ж говорю - я, слава Аллаху, не девоп, мои ошибки могут быть нереферрентными. Надо брать статистику с большого проекта, и ловить типичные для него.<br><br>&gt; их можно отловить без libastral? Регулярки &#8212; не C, в них <br>&gt; мало конструкций, которые однозначно можно идентифицировать как некорректные.<br><br>если бы в си была однозначность - не были бы нужны монстроидальные анализаторы, просто комплиятор выдал бы ошибку.<br><br>Кстати, из свеженького личного - банальный копипаст, когда из трех скопированных блоков один исправить забыли. Пресловутый pvs вон вполне такое отлавливает, тут даже разбирать содержание не шибко надо.<br><br> https://opennet.ru/openforum/vsluhforumID3/111219.html#43 Sat, 13 May 2017 21:41:43 GMT &gt;&gt; вы вообще конфиги нетривиальных систем-то видели <br>&gt; Я (другой аноним) не видел. Можете показать примерчик, чтоб понимать, о чём <br>&gt; речь?<br><br>не, не могу - даже если б унес на память, там потроха конкурента яндекса, унылые, но вряд ли даже сейчас их можно обнародовать.<br><br>Когда столкнетесь - поймете. (не, править не заставят, это обычно удел пары-тройки страдальцев, оно такое не на фронтах и не на конечных нодах, если, конечно, сеть не сплели жопой, при обычной работе их не трогают ;)<br>Ключевой момент первый аноним,на самом деле, понял правильно, но не понял что это так везде - в большой конторе тебе не удастся легко и просто заставить разработчиков изменить бэкэнд, даже если ситуация совсем хреновая (они, кстати, не очень-то и могут) - поэтому неизбежно ты будешь затыкать дырки в их чудо-системе собственными средствами. "С таким параметром - сюды, а с вот таким - вот туды, а то сюды ломается, а это вот я вообще не знаю что такое и кто это обрабатывает, давайте его на следующий уровень пробросим, наверное, https://opennet.ru/openforum/vsluhforumID3/111219.html#42 Sat, 13 May 2017 21:22:32 GMT &gt; речь выше шла о конкретной компании. и там реально мало кого осталось с коммит-битом<br><br>работать приходится, да, а не "развивать опенсорсе" в рабочее время, кризис говорят в стране какой-то.<br>Я говорил про тех, чьи имена упоминаются в патчах и репортах, хотя они и не могут коммитить - их существенно больше одного. То есть где-то в недрах яндекса пара (десятков ;-) фрей видимо еще уцелела, как и тех, кто умеет их готовить.<br>А глобально выбор в сторону линухов был еще в 2011м, как минимум (впрочем, полагаю, на самом деле гораздо раньше).<br><br>&gt; не скажу, что прямо капец как в теме<br><br>видимо, совсем не. Это (ломание csum offload) очень хорошо натоптанные грабли, то есть просто вот все, кто когда либо делал vpn-сервера (и не только) на фре, либо сами по лбу получали, либо уже были в курсе. И оно так с совсем незапамятных времен было.<br><br>&gt; но где же Ваш забытый багрепорт о нем<br><br>мертвых PR без патчей (да и с патчами, пришедшимися не ко двору) и без меня мильен с тыщами. А уж тем более по неинтересной мне фигне.<br><br>Т https://opennet.ru/openforum/vsluhforumID3/111219.html#41 Fri, 12 May 2017 22:04:21 GMT &gt; Только использовать для этого Питон - это надо себя сильно не любить. <br>&gt; У вас там ведь весь код анализатора, скорее всего, сплошь из <br>&gt; ветвлений. На Питоне их нужно все проверять. :-) <br><br>так говорю же эт тока ИБ-ещники так любят питон, вот и накалякали анализатор на коленке )<br><br> https://opennet.ru/openforum/vsluhforumID3/111219.html#40 Fri, 12 May 2017 22:00:48 GMT &gt;&gt; вы вообще конфиги нетривиальных систем-то видели <br>&gt; Я (другой аноним) не видел. Можете показать примерчик, чтоб понимать, о чём <br>&gt; речь?<br><br>список рассылки нгинкса вам в помощь )) там куча нетривиальных конфигов, иногда ржачных<br> https://opennet.ru/openforum/vsluhforumID3/111219.html#39 Fri, 12 May 2017 21:54:15 GMT &gt;&gt;осспди... вы вообще конфиги нетривиальных систем-то видели хоть по телевизору?<br><br>хех с основания нгинкса вижу )) ток они не содержат логику приложений<br><br>&gt;&gt;не надо ему доверять вообще,<br><br>в принципе суть в том, что реальный "пряморукий" админ нгинкса должен знать рфс протокола ХТТП, а если он знает - зачем какой-то ещё анализатор ))<br><br>&gt;&gt;в общем, админ локалхоста детeктед.<br><br>))) ну пусть будет так, админ локалхоста с 10+ лет стажем думаю наизусть выучит конфигурирование нгинкса, нежеле, студент админ нетривиальных систем, на годовой стажировке в яндексе.<br><br>&gt;&gt;вас не будут в яндексе спрашивать, что нужно, а что не нужно.<br><br>всё правильно, так и есть - главное чтобы работало, вот и бесятся ИБ-ешники яндекса от таких админов и проггеров, решили написать скрипт для "статического анализа" ))))))))<br><br><br>&gt;&gt;И ни в одном более-менее крупном проекте тоже не будут, это не яндекс такой плохой.<br><br>я кстате не говорил, что яндекс плохой. Я предположил, что у них на столько криворукие нгинкс админы, что ИБ-ешники, которые за https://opennet.ru/openforum/vsluhforumID3/111219.html#38 Fri, 12 May 2017 21:21:09 GMT &gt; typical human error, когда написано одно, а подразумевалось другое.<br><br>Вот я и спрашиваю, что это за ошибки такие могут быть, что их можно отловить без libastral? Регулярки &#8212; не C, в них мало конструкций, которые однозначно можно идентифицировать как некорректные.<br> https://opennet.ru/openforum/vsluhforumID3/111219.html#37 Fri, 12 May 2017 19:26:34 GMT &gt; вы вообще конфиги нетривиальных систем-то видели<br><br>Я (другой аноним) не видел. Можете показать примерчик, чтоб понимать, о чём речь?<br>