0
| 本文作者: 靈火K | 2019-01-31 14:35 |
1月31日,白帽匯安全研究院發(fā)現(xiàn)了一個非常流行的PHP框架Laravel,因其配置不當(dāng)會泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,F(xiàn)irebird,sqlite,mail賬號密碼和APP_KEY等敏感信息。
雷鋒網(wǎng)得知,相比其他的PHP框架Laravel具有了一套高級的PHP ActiveRecord實現(xiàn) -- Eloquent ORM,比較適合應(yīng)用各種開發(fā)模式,其集合了php比較新的特性以及各種各樣的設(shè)計模式,比如Ioc 容器,依賴注入等。
目前來看,Laravel的使用者大多聚集在國外,國內(nèi)更多采用的是ThinkPHP框架。盡管如此,在國內(nèi)Laravel也受到政府級企業(yè)的青睞,比如:北京市稅務(wù)局、銅山區(qū)政協(xié)、天津農(nóng)學(xué)院等。
據(jù)FOFA系統(tǒng)最新數(shù)據(jù)顯示,全球范圍內(nèi)共有369333個開放服務(wù)。美國使用數(shù)量最多,共有145372臺,中國第二,共有27534臺,德國第三,共有19436臺,新加坡第四,共有17070臺。
在中國,浙江使用Laravel框架服務(wù)器數(shù)量最多,共有17188臺;北京第二,共有5612臺,廣東第三,共有1046臺,上海第四,共有891臺,山東第五,共有820臺。
通過上述情況,黑客能夠通過高危漏洞利用mysql寫入木馬進行脫庫處理,設(shè)置在服務(wù)器端植入后門,亦或利用數(shù)據(jù)庫進行跳板入侵內(nèi)網(wǎng)服務(wù)器。受到攻擊之后,該應(yīng)用的絕對路徑、session、mysql賬號密碼、郵箱賬號密碼、redis密碼都暴露在了前端,對于政府級別應(yīng)用而言該漏洞很有可能造成國家級機密的泄露問題。
在泄露的信息中,MySQL占很大一部分。其中有阿里云MySQL服務(wù)器、亞馬遜云MySQL服務(wù)器、其他云廠商MySQL服務(wù)器,以及的自建的MySQL服務(wù)器。
修復(fù)建議:
1、關(guān)閉laravel配置文件中的調(diào)試功能,在.env文件中找到APP_DEBUG=true,將true改為false。
2、在根目錄下添加.htaccess文件,僅限Apache,可以禁止直接訪問127.0.0.1/laravel/.env,內(nèi)容如下:
``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]
```
文章來源:白帽匯
