PHP框架Lavarel被发现存在高危漏洞

栏目: PHP · 发布时间: 5年前

内容简介:1月31日,白帽汇安全研究院发现了一个非常流行的PHP框架Laravel,因其配置不当会泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail账号密码和APP_KEY等敏感信息。雷锋网

1月31日,白帽汇安全研究院发现了一个非常流行的 PHP 框架Laravel,因其配置不当会泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail账号密码和APP_KEY等敏感信息。

PHP框架Lavarel被发现存在高危漏洞

雷锋网 (公众号:雷锋网) 得知,相比其他的PHP框架 Laravel 具有了一套高级的PHP ActiveRecord实现 -- Eloquent ORM,比较适合应用各种开发模式,其集合了php比较新的特性以及各种各样的设计模式,比如Ioc 容器,依赖注入等。

目前来看,Laravel的使用者大多聚集在国外,国内更多采用的是ThinkPHP框架。尽管如此,在国内Laravel也受到政府级企业的青睐,比如:北京市税务局、铜山区政协、天津农学院等。

据FOFA系统最新数据显示,全球范围内共有369333个开放服务。美国使用数量最多,共有145372台,中国第二,共有27534台,德国第三,共有19436台,新加坡第四,共有17070台。

在中国,浙江使用Laravel框架服务器数量最多,共有17188台;北京第二,共有5612台,广东第三,共有1046台,上海第四,共有891台,山东第五,共有820台。

PHP框架Lavarel被发现存在高危漏洞

通过上述情况,黑客能够通过高危漏洞利用 mysql 写入木马进行脱库处理,设置在服务器端植入后门,亦或利用数据库进行跳板入侵内网服务器。受到攻击之后,该应用的绝对路径、session、mysql账号密码、邮箱账号密码、 redis 密码都暴露在了前端,对于政府级别应用而言该漏洞很有可能造成国家级机密的泄露问题。

在泄露的信息中,MySQL占很大一部分。其中有阿里云MySQL服务器、亚马逊云MySQL服务器、其他云厂商MySQL服务器,以及的自建的MySQL服务器。

修复建议:

1、关闭laravel配置文件中的调试功能,在.env文件中找到APP_DEBUG=true,将true改为false。
2、在根目录下添加.htaccess文件,仅限Apache,可以禁止直接访问127.0.0.1/laravel/.env,内容如下:
``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]
```

文章来源:白帽汇

雷锋网版权文章,未经授权禁止转载。详情见 转载须知


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

淘宝、天猫电商运营百科全书

淘宝、天猫电商运营百科全书

刘涛 / 电子工业出版社 / 2016-7 / 59.00元

有人说淘宝、天猫上90%的卖家不赚钱,我认为说得有点大了。因为如果说大家都不赚钱或者在亏钱,为什么去年在做店铺的卖家,今年还在继续?那些不赚钱的卖家,多数是没意识到市场的变化,还在用原来的套路运营店铺。市场在变,但卖家的思路却没有转变,不赚钱也在情理之中,因为淘宝、天猫的玩法变了。做店铺就是好比一场“打怪”升级的游戏,每次的升级都需要强大的装备与攻略。优胜劣汰,能活下去并且能赚钱的卖家,都是在不停......一起来看看 《淘宝、天猫电商运营百科全书》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

在线进制转换器
在线进制转换器

各进制数互转换器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具