近期,有研究人员发现数百个使用Laravel框架的网站由于调试设置出现错误,导致敏感数据泄露。而这些受影响的网站中就包括美国总统特朗普的官方竞选网站,可导致攻击者劫持该网站的电子邮件服务器。
Laravel是一个非常知名的PHP框架,它自带一个“调试模式”,可帮助开发人员在网站上线之前迅速找出网站配置错误。但问题是,许多开发人员开启该模式后却忘记及时关闭,导致后端服务器的详细信息,例如数据库位置、密码、密钥等被攻击者知晓。
Comparitech与安全研究人员Bob Diachenko以及Sebastien Kaul合作,发现了大量因忘记关闭Laravel调试模式而泄露大量敏感信息的网站,并从10月11日开始向受影响网站的所有者通报漏洞信息。他们总共发现768个Laravel网站存在问题,其中10%到20%泄露了敏感配置,大多数都和慈善机构以及小企业有关。
特朗普竞选网站的一个子域以纯文本的形式泄露了邮件服务器的配置,不需要任何特殊的请求,直接通过浏览器就可以看到这些信息。由于不确定该网站是何时启用了调试模式,因此我们无法估计这些数据已经在公网上暴露了多久。
Diachenko表示:“即使只暴露了24小时也足够危险。从理论上讲,任何人都可以利用这些信息冒充特朗普竞选团队的成员,使用email.donaldtrump.com发送电子邮件。”
除了冒充竞选团队人员,攻击者还能截获特朗普和支持者以及撰稿人的通信,特别是该竞选网站还涉及到募集捐款等经济行为。
需要明确的是,这种数据泄露并不是直接和用户信息有关。主要为黑客提供了一种强力攻击途径,借助这些敏感信息黑客可以直接劫持邮件服务器、检索网站源代码、暴力破解其他系统的密码等。
DonaldJTrump.com团队在收到通报五天后的10月16日才做出了回应,解决了这个网站漏洞。
其实这也并不是一个新问题,大约一年前,Diachenko和他的同事Sebastien Kaul就曾在公网上发现566个网站存在同样的问题,他们通知了能找到归属的22家公司。其中一家名为PrestoDaycare瑞典公司的产品是儿童跟踪软件和数字化教室技术。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3059.html
来源:https://www.comparitech.com/blog/vpn-privacy/debug-mode-exposes-credentials/
3679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
