相关声明
本文内容仅为技术科普,请勿用于非法用途。概不负责,一切后果由用户自行承担。
入行四个月了见到了很多没见过的漏洞,学习一下
LARAVEL敏感信息泄漏
高危
漏洞描述:在 laravel 框架的根目录下存在配置文件,该文件存储了 debug 的配置、mysql账号密码、邮箱账号密码、redis 密码等信息。如果访问控制不当会导致文件泄露敏感信息。
解决方案:关闭 laravel 配置文件中的调试功能,在 .env 文件中找到 APP_DEBUG=true,将 true 改为 false。
Laravel是一个框架,可以算得上是一个cms
https://fp.shuziguanxing.com/#/这个是我比较喜欢的在线指纹判断网址,或者用wapppalyzer插件也行
我个人理解就是报错页面会泄露信息
但是怎么触发报错,我基本上都是阴差阳错下触发的,有大佬能告诉我就好了,我查的资料也不是很全,我看有的人是网页后面输了个login,比如这个大佬,
还有就是拼接一些接口,他就出现这个报错页面,我的理解基本上是sql查询的QueryException方法报错导致的,但是我就不理解这个目录加一个login咋就报错了,我自己的是拼接api里有?id=1这类的参数,我估计是数据库查询导致的报错。以上均是我猜测,要是有大佬解惑请务必给我讲解。
简单看一下这个报错页面长啥样,空间测绘引擎搜索title=”Whoops!There was an error”,(这个就是报错页面的title)
我们随便挑一个看看,
能找到的信息,全看这个站有存啥,基本上我看比较关键的就是各种的PASSWORD,还需要注意的,就是ALIYUN_ACCESSKEYSECRET和ALIYUN_ACCESSKEYID,这俩key直接拿到可以直接管理这台主机。
请参考:https://www.bilibili.com/video/av798069352/?vd_source=1c406bff14850bca9093e75216ad75b4文章来源:https://www.toymoban.com/news/detail-431222.html
https://mp.weixin.qq.com/s/dIA96UIIDDG_ODh62AxRkg文章来源地址https://www.toymoban.com/news/detail-431222.html
到了这里,关于LARAVEL敏感信息泄漏的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
