• 下載頻道 http://www.gxjapp.com/down/
  • 警惕PHP框架Lavarel出現漏洞與解決方案

    發布日期:2019-02-01 08:38:00
    Tag標簽:PHP框架  Lavarel  漏洞解決  
    •    大家一定要小心警惕的看待PHP框架Lavarel這個標簽和它整個的應用,因為它最近又出現問題了就是本篇文章中出現高危漏洞等等,如果你不知道它為何會有這個漏洞那么請你一定要認真看這篇文章了,本篇文章的結尾處我們附上了解決方案。

       1月31日,白帽匯安全研究院發現了一個非常流行的PHP框架Laravel,因其配置不當會泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail賬號密碼和APP_KEY等敏感信息。

        我們得知,相比其他的PHP框架Laravel具有了一套高級的PHP ActiveRecord實現 -- Eloquent ORM,比較適合應用各種開發模式,其集合了php比較新的特性以及各種各樣的設計模式,比如Ioc 容器,依賴注入等。

      漏洞

        目前來看,Laravel的使用者大多聚集在國外,國內更多采用的是ThinkPHP框架。盡管如此,在國內Laravel也受到政府級企業的青睞,比如:北京市稅務局、銅山區政協、天津農學院等。

        據FOFA系統最新數據顯示,全球范圍內共有369333個開放服務。美國使用數量最多,共有145372臺,中國第二,共有27534臺,德國第三,共有19436臺,新加坡第四,共有17070臺。

        在中國,浙江使用Laravel框架服務器數量最多,共有17188臺;北京第二,共有5612臺,廣東第三,共有1046臺,上海第四,共有891臺,山東第五,共有820臺。

        通過上述情況,黑客能夠通過高危漏洞利用mysql寫入木馬進行脫庫處理,設置在服務器端植入后門,亦或利用數據庫進行跳板入侵內網服務器。受到攻擊之后,該應用的絕對路徑、session、mysql賬號密碼、郵箱賬號密碼、redis密碼都暴露在了前端,對于政府級別應用而言該漏洞很有可能造成國家級機密的泄露問題。

        在泄露的信息中,MySQL占很大一部分。其中有阿里云MySQL服務器、亞馬遜云MySQL服務器、其他云廠商MySQL服務器,以及的自建的MySQL服務器。

        修復建議:

        1、關閉laravel配置文件中的調試功能,在.env文件中找到APP_DEBUG=true,將true改為false。

        2、在根目錄下添加.htaccess文件,僅限Apache,可以禁止直接訪問

        我們在遇到任何問題時不要輕易灰心不要輕易喪氣,要相信在這個世界上任何事情都可以解決的,當你遇到PHP的高危漏洞的這個問題時不妨來看看本篇文章或許你能在里面找到些什么然后解決你的問題,我們還會繼續收集更多的問題和解決方案。

    次元立方 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
    本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
    三级网址