1月31日，白帽匯安全研究院發(fā)現(xiàn)了一個(gè)非常流行的PHP框架Laravel，因其配置不當(dāng)會(huì)泄露MySQL，Redis，Elastic，Mongodb，neo4j，postgresql，SQLServer，Oracle，F(xiàn)irebird，sqlite，mail賬號(hào)密碼和APP_KEY等敏感信息。

雷鋒網(wǎng)得知，相比其他的PHP框架Laravel具有了一套高級(jí)的PHP ActiveRecord實(shí)現(xiàn) -- Eloquent ORM，比較適合應(yīng)用各種開(kāi)發(fā)模式，其集合了php比較新的特性以及各種各樣的設(shè)計(jì)模式，比如Ioc 容器，依賴(lài)注入等。

目前來(lái)看，Laravel的使用者大多聚集在國(guó)外，國(guó)內(nèi)更多采用的是ThinkPHP框架。盡管如此，在國(guó)內(nèi)Laravel也受到政府級(jí)企業(yè)的青睞，比如：北京市稅務(wù)局、銅山區(qū)政協(xié)、天津農(nóng)學(xué)院等。

據(jù)FOFA系統(tǒng)最新數(shù)據(jù)顯示，全球范圍內(nèi)共有369333個(gè)開(kāi)放服務(wù)。美國(guó)使用數(shù)量最多，共有145372臺(tái)，中國(guó)第二，共有27534臺(tái)，德國(guó)第三，共有19436臺(tái)，新加坡第四，共有17070臺(tái)。

在中國(guó)，浙江使用Laravel框架服務(wù)器數(shù)量最多，共有17188臺(tái)；北京第二，共有5612臺(tái)，廣東第三，共有1046臺(tái)，上海第四，共有891臺(tái)，山東第五，共有820臺(tái)。

通過(guò)上述情況，黑客能夠通過(guò)高危漏洞利用mysql寫(xiě)入木馬進(jìn)行脫庫(kù)處理，設(shè)置在服務(wù)器端植入后門(mén)，亦或利用數(shù)據(jù)庫(kù)進(jìn)行跳板入侵內(nèi)網(wǎng)服務(wù)器。受到攻擊之后，該應(yīng)用的絕對(duì)路徑、session、mysql賬號(hào)密碼、郵箱賬號(hào)密碼、redis密碼都暴露在了前端，對(duì)于政府級(jí)別應(yīng)用而言該漏洞很有可能造成國(guó)家級(jí)機(jī)密的泄露問(wèn)題。

在泄露的信息中，MySQL占很大一部分。其中有阿里云MySQL服務(wù)器、亞馬遜云MySQL服務(wù)器、其他云廠商MySQL服務(wù)器，以及的自建的MySQL服務(wù)器。

修復(fù)建議：

1、關(guān)閉laravel配置文件中的調(diào)試功能，在.env文件中找到APP_DEBUG=true，將true改為false。

2、在根目錄下添加.htaccess文件，僅限Apache，可以禁止直接訪問(wèn)127.0.0.1/laravel/.env，內(nèi)容如下：

``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]

```

文章來(lái)源：白帽匯

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。