PHP框架Lavarel被發現存在高危漏洞

1月31日,白帽匯安全研究院發現了一個非常流行的PHP框架Laravel,因其配置不當會泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail賬號密碼和APP_KEY等敏感信息。

雷鋒網得知,相比其他的PHP框架Laravel具有了一套高級的PHP ActiveRecord實現 -- Eloquent ORM,比較適合應用各種開發模式,其集合了php比較新的特性以及各種各樣的設計模式,比如Ioc 容器,依賴注入等。

目前來看,Laravel的使用者大多聚集在國外,國內更多採用的是ThinkPHP框架。儘管如此,在國內Laravel也受到政府級企業的青睞,比如:北京市稅務局、銅山區政協、天津農學院等。

據FOFA系統最新數據顯示,全球範圍內共有369333個開放服務。美國使用數量最多,共有145372台,中國第二,共有27534台,德國第三,共有19436台,新加坡第四,共有17070台。

在中國,浙江使用Laravel框架服務器數量最多,共有17188台;北京第二,共有5612台,廣東第三,共有1046台,上海第四,共有891台,山東第五,共有820台。

通過上述情況,黑客能夠通過高危漏洞利用mysql寫入木馬進行脫庫處理,設置在服務器端植入後門,亦或利用數據庫進行跳板入侵內網服務器。受到攻擊之後,該應用的絕對路徑、session、mysql賬號密碼、郵箱賬號密碼、redis密碼都暴露在了前端,對於政府級別應用而言該漏洞很有可能造成國家級機密的泄露問題。

在泄露的信息中,MySQL占很大一部分。其中有阿里雲MySQL服務器、亞馬遜雲MySQL服務器、其他雲廠商MySQL服務器,以及的自建的MySQL服務器。

修復建議:

1、關閉laravel配置文件中的調試功能,在.env文件中找到APP_DEBUG=true,將true改為false。

2、在根目錄下添加.htaccess文件,僅限Apache,可以禁止直接訪問127.0.0.1/laravel/.env,內容如下:

``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]

```

文章來源:白帽匯


想在手機閱讀更多MySQL資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems