前言
免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!
该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。
lavarel框架配置不当导致敏感数据泄露–>云上攻防
lavarel框架敏感数据泄露
在laravel框架的.env配置文件中,默认调试功能debug是开启的。当使程序报错时。在前台会返回报错详情、环境变量、服务器配置等敏感信息。
简单来讲就是报错页面会泄露敏感数据,如:各数据库的账号密码、mail账号密码,AK及SK等。
注意:到这里其实已经可以交差了,渗透测试中千万不要重置密码!!!拿到实例信息及IP信息就已经可以交了。
使用工具:
这里使用TeamsSix大佬的工具CF
https://github.com/teamssix/cf
配置访问配置:
© 版权声明
THE END
暂无评论内容