2分六合

  • 下载频道 http://hkcren.com/down/
  • 警惕PHP框架Lavarel出现漏洞与解决方案

    发布日期:2019-02-01 08:38:00
    Tag标签:PHP框架  Lavarel  漏洞解决  
    •    大家一定要小心警惕的看待PHP框架Lavarel这个标签和它整个的应用,因为它最近又出现问题了就是本篇文章中出现高危漏洞等等,如果你不知道它为何会有这个漏洞那么请你一定要认真看这篇文章了,本篇文章的结尾处我们附上了解决方案。

       1月31日,白帽汇安全研究院发现了一个非常流行的PHP框架Laravel,因其配置不当会泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail账号密码和APP_KEY等敏感信息。

        我们得知,相比其他的PHP框架Laravel具有了一套高级的PHP ActiveRecord实现 -- Eloquent ORM,比较适合应用各种开发模式,其集合了php比较新的特性以及各种各样的设计模式,比如Ioc 容器,依赖注入等。

      漏洞

        目前来看,Laravel的使用者大多聚集在国外,国内更多采用的是ThinkPHP框架。尽管如此,在国内Laravel也受到政府级企业的青睐,比如:北京市税务局、铜山区政协、天津农学院等。

        据FOFA系统最新数据显示,全球范围内共有369333个开放服务。美国使用数量最多,共有145372台,中国第二,共有27534台,德国第三,共有19436台,新加坡第四,共有17070台。

        在中国,浙江使用Laravel框架服务器数量最多,共有17188台;北京第二,共有5612台,广东第三,共有1046台,上海第四,共有891台,山东第五,共有820台。

        通过上述情况,黑客能够通过高危漏洞利用mysql写入木马进行脱库处理,设置在服务器端植入后门,亦或利用数据库进行跳板入侵内网服务器。受到攻击之后,该应用的绝对路径、session、mysql账号密码、邮箱账号密码、redis密码都暴露在了前端,对于政府级别应用而言该漏洞很有可能造成国家级机密的泄露问题。

        在泄露的信息中,MySQL占很大一部分。其中有阿里云MySQL服务器、亚马逊云MySQL服务器、其他云厂商MySQL服务器,以及的自建的MySQL服务器。

        修复建议:

        1、关闭laravel配置文件中的调试功能,在.env文件中找到APP_DEBUG=true,将true改为false。

        2、在根目录下添加。htaccess文件,仅限Apache,可以禁止直接访问

        我们在遇到任何问题时不要轻易灰心不要轻易丧气,要相信在这个世界上任何事情都可以解决的,当你遇到PHP的高危漏洞的这个问题时不妨来看看本篇文章或许你能在里面找到些什么然后解决你的问题,我们还会继续收集更多的问题和解决方案。

    次元立方 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
    本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规