PHP框架Lavarel被发现存在高危漏洞

1月31日，白帽汇安全研究院发现了一个非常流行的PHP框架Laravel，因其配置不当会泄露MySQL，Redis，Elastic，Mongodb，neo4j，postgresql，SQLServer，Oracle，Firebird，sqlite，mail账号密码和APP_KEY等敏感信息。

宅客频道得知，相比其他的PHP框架Laravel具有了一套高级的PHP ActiveRecord实现 -- Eloquent ORM，比较适合应用各种开发模式，其集合了php比较新的特性以及各种各样的设计模式，比如Ioc 容器，依赖注入等。

目前来看，Laravel的使用者大多聚集在国外，国内更多采用的是ThinkPHP框架。尽管如此，在国内Laravel也受到政府级企业的青睐，比如：北京市税务局、铜山区政协、天津农学院等。

据FOFA系统最新数据显示，全球范围内共有369333个开放服务。美国使用数量最多，共有145372台，中国第二，共有27534台，德国第三，共有19436台，新加坡第四，共有17070台。

在中国，浙江使用Laravel框架服务器数量最多，共有17188台；北京第二，共有5612台，广东第三，共有1046台，上海第四，共有891台，山东第五，共有820台。

通过上述情况，黑客能够通过高危漏洞利用mysql写入木马进行脱库处理，设置在服务器端植入后门，亦或利用数据库进行跳板入侵内网服务器。受到攻击之后，该应用的绝对路径、session、mysql账号密码、邮箱账号密码、redis密码都暴露在了前端，对于政府级别应用而言该漏洞很有可能造成国家级机密的泄露问题。

在泄露的信息中，MySQL占很大一部分。其中有阿里云MySQL服务器、亚马逊云MySQL服务器、其他云厂商MySQL服务器，以及的自建的MySQL服务器。

修复建议：

1、关闭laravel配置文件中的调试功能，在.env文件中找到APP_DEBUG=true，将true改为false。

2、在根目录下添加.htaccess文件，仅限Apache，可以禁止直接访问127.0.0.1/laravel/.env，内容如下：

``` RewriteEngine on RewriteRule ^$ public/ [L] RewriteRule (.*) public/$1 [L]

```

文章来源：白帽汇

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注