1月31日，白帽匯安全研究院發(fā)現(xiàn)了一個非常流行的PHP框架Laravel，因其配置不當(dāng)會泄露MySQL，Redis，Elastic，Mongodb，neo4j，postgresql，SQLServer，Oracle，F(xiàn)irebird，sqlite，mail賬號密碼和APP_KEY等敏感信息。

雷鋒網(wǎng)得知，相比其他的PHP框架Laravel具有了一套高級的PHP ActiveRecord實現(xiàn) -- Eloquent ORM，比較適合應(yīng)用各種開發(fā)模式，其集合了php比較新的特性以及各種各樣的設(shè)計模式，比如Ioc 容器，依賴注入等。

目前來看，Laravel的使用者大多聚集在國外，國內(nèi)更多采用的是ThinkPHP框架。盡管如此，在國內(nèi)Laravel也受到政府級企業(yè)的青睞，比如：北京市稅務(wù)局、銅山區(qū)政協(xié)、天津農(nóng)學(xué)院等。

據(jù)FOFA系統(tǒng)最新數(shù)據(jù)顯示，全球范圍內(nèi)共有369333個開放服務(wù)。美國使用數(shù)量最多，共有145372臺，中國第二，共有27534臺，德國第三，共有19436臺，新加坡第四，共有17070臺。

在中國，浙江使用Laravel框架服務(wù)器數(shù)量最多，共有17188臺；北京第二，共有5612臺，廣東第三，共有1046臺，上海第四，共有891臺，山東第五，共有820臺。

通過上述情況，黑客能夠通過高危漏洞利用mysql寫入木馬進行脫庫處理，設(shè)置在服務(wù)器端植入后門，亦或利用數(shù)據(jù)庫進行跳板入侵內(nèi)網(wǎng)服務(wù)器。受到攻擊之后，該應(yīng)用的絕對路徑、session、mysql賬號密碼、郵箱賬號密碼、redis密碼都暴露在了前端，對于政府級別應(yīng)用而言該漏洞很有可能造成國家級機密的泄露問題。

在泄露的信息中，MySQL占很大一部分。其中有阿里云MySQL服務(wù)器、亞馬遜云MySQL服務(wù)器、其他云廠商MySQL服務(wù)器，以及的自建的MySQL服務(wù)器。

修復(fù)建議：

1、關(guān)閉laravel配置文件中的調(diào)試功能，在.env文件中找到APP_DEBUG=true，將true改為false。

2、在根目錄下添加.htaccess文件，僅限Apache，可以禁止直接訪問127.0.0.1/laravel/.env，內(nèi)容如下：

``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]

```

文章來源：白帽匯

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。