写点什么

LARAVEL SMTP 服务泄露,laravel env 暴露

用户头像
kaer
关注
发布于: 2021 年 03 月 06 日
  • 起因:公司内部邮箱每日数据发送不出,经查询发现邮箱发送频繁被拒。

  • 排查:发现邮箱内发送过大量垃圾信息,其中关键信息为 XCATZE 经过上网搜索发现这个是针对 laravel 的自动爬虫脚本留下的。

  • 分析:邮箱泄露,地址是配置在 env 里面所有最大原因是 env 泄露,查询 nginx 日志发现在对应时间点有一个 GET 请求和一个 POST 请求分别访问 env 而且 ua 很可疑全部为 Chrome/81.0.4044.129 初步怀疑是这个问题

  • 验证:模拟 nginx 捕捉到的请求 发现默认.env 通过 GET 方式访问不到,POST 的方法通过特殊字符导致系统异常返回了 DEBUG 错误信息 其中会保护 ENV 的配置

  • 修复:初步解决方案 关闭 DEBUG 信息 APP_DEBUG=false 内部测试站点关闭外网访问权限

发布于: 2021 年 03 月 06 日阅读数: 20
用户头像

kaer

关注

武装自己的应该是知识,而不是一身废铜烂铁 2019.03.23 加入

还未添加个人简介

评论

发布
暂无评论
LARAVEL SMTP 服务泄露,laravel env暴露