前言

免责声明：涉及到的所有技术仅用来学习交流，严禁用于非法用途，未经授权请勿非法渗透。否则产生的一切后果自行承担！
该渗透测试项目为已授权项目，本文已对敏感部分做了相关处理。

lavarel框架配置不当导致敏感数据泄露–>云上攻防

lavarel框架敏感数据泄露

在laravel框架的.env配置文件中，默认调试功能debug是开启的。当使程序报错时。在前台会返回报错详情、环境变量、服务器配置等敏感信息。

简单来讲就是报错页面会泄露敏感数据，如：各数据库的账号密码、mail账号密码，AK及SK等。

注意：到这里其实已经可以交差了，渗透测试中千万不要重置密码！！！拿到实例信息及IP信息就已经可以交了。

使用工具：

这里使用TeamsSix大佬的工具CF
https://github.com/teamssix/cf
配置访问配置：