LARAVEL SMTP 服务泄露,laravel env 暴露
起因:公司内部邮箱每日数据发送不出,经查询发现邮箱发送频繁被拒。
排查:发现邮箱内发送过大量垃圾信息,其中关键信息为 XCATZE 经过上网搜索发现这个是针对 laravel 的自动爬虫脚本留下的。
分析:邮箱泄露,地址是配置在 env 里面所有最大原因是 env 泄露,查询 nginx 日志发现在对应时间点有一个 GET 请求和一个 POST 请求分别访问 env 而且 ua 很可疑全部为 Chrome/81.0.4044.129 初步怀疑是这个问题
验证:模拟 nginx 捕捉到的请求 发现默认.env 通过 GET 方式访问不到,POST 的方法通过特殊字符导致系统异常返回了 DEBUG 错误信息 其中会保护 ENV 的配置
修复:初步解决方案 关闭 DEBUG 信息
APP_DEBUG=false
内部测试站点关闭外网访问权限
版权声明: 本文为 InfoQ 作者【kaer】的原创文章。
原文链接:【http://xie.infoq.cn/article/317a023cc1dd9851054b9df8b】。文章转载请联系作者。
评论