相关声明

本文内容仅为技术科普,请勿用于非法用途。概不负责,一切后果由用户自行承担。

入行四个月了见到了很多没见过的漏洞,学习一下

LARAVEL敏感信息泄漏

高危

漏洞描述:在 laravel 框架的根目录下存在配置文件,该文件存储了 debug 的配置、mysql账号密码、邮箱账号密码、redis 密码等信息。如果访问控制不当会导致文件泄露敏感信息。

解决方案:关闭 laravel 配置文件中的调试功能,在 .env 文件中找到 APP_DEBUG=true,将 true 改为 false。

Laravel是一个框架,可以算得上是一个cms

https://fp.shuziguanxing.com/#/这个是我比较喜欢的在线指纹判断网址,或者用wapppalyzer插件也行

我个人理解就是报错页面会泄露信息

但是怎么触发报错,我基本上都是阴差阳错下触发的,有大佬能告诉我就好了,我查的资料也不是很全,我看有的人是网页后面输了个login,比如这个大佬,

还有就是拼接一些接口,他就出现这个报错页面,我的理解基本上是sql查询的QueryException方法报错导致的,但是我就不理解这个目录加一个login咋就报错了,我自己的是拼接api里有?id=1这类的参数,我估计是数据库查询导致的报错。以上均是我猜测,要是有大佬解惑请务必给我讲解。

简单看一下这个报错页面长啥样,空间测绘引擎搜索title=”Whoops!There was an error”,(这个就是报错页面的title)

我们随便挑一个看看,

能找到的信息,全看这个站有存啥,基本上我看比较关键的就是各种的PASSWORD,还需要注意的,就是ALIYUN_ACCESSKEYSECRET和ALIYUN_ACCESSKEYID,这俩key直接拿到可以直接管理这台主机。

请参考:https://www.bilibili.com/video/av798069352/?vd_source=1c406bff14850bca9093e75216ad75b4

https://mp.weixin.qq.com/s/dIA96UIIDDG_ODh62AxRkg

LARAVEL敏感信息泄漏相关推荐

  1. linux心跳包检测代码_OpenSSL心跳包越界读敏感信息泄漏漏洞

    发布日期:2014-04-10 CVE ID:CVE-2014-0160 受影响的软件及系统: ==================== OpenSSL 1.0.1-OpenSSL 1.0.1f Op ...

  2. web敏感信息泄漏(36)

    预备知识 信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问.就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可 ...

  3. 风炫安全WEB安全学习第四十四节课 敏感信息泄漏

    第四十四节课 敏感信息泄漏 敏感信息泄漏 0x01 漏洞简介 敏感数据包括但不限于:口令.密钥.证书.会话标识.License.隐私数据(如短消息的内容).授权凭据.个人数据(如姓名.住址.电话等)等 ...

  4. 6月第1周安全回顾 Flash Player漏洞危机 邮件泄漏敏感信息

    本文同时发表在:[url]http://netsecurity.51cto.com/art/200806/75634.htm[/url] 本周(080526至080601)的信息安全威胁程度为低.   ...

  5. Web应用防火墙的敏感信息泄露保护功能可以防护哪些敏感数据泄漏?

    背景信息 防敏感信息泄漏功能是Web应用防火墙针对<网络安全法>提出的"网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露.毁损.丢失.在发生或者可 ...

  6. 如何降低在 npm 模块中发布敏感信息的可能性

    简评:国内也有不少在开源代码里泄露敏感数据的例子,这种事一定要小心啊. 目前 npm 上有着数十万的包,而隐藏在这惊人数量之下的是更令人惊讶的敏感信息泄漏.包括 authentication toke ...

  7. 开发者论坛一周精粹(第十四期):CVE-2017-7529:Nginx敏感信息泄露

    摘要: 2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不 ...

  8. Oracle不打算修复这两个iPlanet信息泄漏和注入漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Oracle 不打算修复 iPlanet Web Server 中的两个网页敏感信息泄漏和注入漏洞CVE-2020-9315 和 CV ...

  9. 浅谈“敏感信息泄露“

    一:漏洞名称: 敏感信息泄露 描述: 敏感数据包括但不限于:口令.密钥.证书.会话标识.License.隐私数据(如短消息的内容).授权凭据.个人数据(如姓名.住址.电话等)等,在程序文件.配置文件. ...

最新文章

  1. python20191031_20191031:Python取反运算详解
  2. python要学哪些_学python都要学哪些内容?
  3. js处理json和字符串示例
  4. 把windows键盘作为xfce环境中的打开Applications
  5. leetcode刷题 162.寻找峰值
  6. oracle insert两个关联表
  7. RUNOOB python练习题24 斐波那契数列的衍生问题
  8. 电子科大计算机调试,电子科大计算机学院 汇编语言程序设计 实验报告 99分精品版.doc...
  9. nexus+7+android+5.0++wifi+代理,谷歌Nexus5吃上安卓8.0:除了WiFi全不能正常工作
  10. 为什么要购买域名?如何购买域名?
  11. Nginx(一) 下载,编译安装并设置开机启动
  12. 无缝衔接的人会遭报应吗_树洞网-秘密-大树洞 -第6页-在这里,我们为您寄存秘密、心事...
  13. 学习自旋电子学的笔记04:模拟自旋波在弯曲磁畴壁中传播
  14. Apache Doris 的一场编译之旅
  15. Failed to convert value of type 'java.lang.String' to required type 'java.util.Date
  16. RocketMQ(17)——Broker可配置参数
  17. 配置OSPF实现pc机互通小实验
  18. 暑期实训第二周周一周二总结
  19. 挑战程序设计竞赛: Jess's Reading Problem
  20. USB接口测试工装研究

热门文章

  1. 小程序动画animation向左移动效果
  2. 2019网易游戏测试工程师(暑期实习)面经---已成功拿到offer
  3. 【已解决】nginx x-cache: MISS
  4. 大数据时代,华为云BI助力企业挖掘数据“宝藏”
  5. 电表远程抄表在配电房内的使用
  6. 如何将一个软件程序设置为开机启动项(win10系统)
  7. Django模型类操作数据表
  8. docker初识_初识Docker - 阮少爷的个人空间 - OSCHINA - 中文开源技术交流社区
  9. 接天莲叶无穷碧,映日荷花别样红 1
  10. Kubernetes引入外部服务与外部数据源