Laravel是一个流行的开源PHP框架,用于开发Web应用程序。根据BuiltWith的数据,目前有超过135,000个网站正在使用这个框架。
像类似的框架一样,它包括带有接口的调试模式,该接口允许开发人员识别站点网络上的错误或配置错误。该调试模式旨在在网站上线之前使用,但是许多开发人员未能禁用它,需要明确的是,这是网站管理员或开发人员所犯的错误,而不是Laravel中的错误。
▲上图来自白帽汇
由于可以从Web浏览器访问调试界面。它通常包含纯文本敏感的详细信息和API凭据,例如共享机密,密码和数据库位置,这些信息是黑客可以用来窃取数据或对系统进行进一步攻击的信息。
下面这个链接,从域名来看就知道不简单,他是特先生的用于募捐的竞选网站。
https://www.donaldjtrump.com/
然而,这个网站在文章曝光前,就因为没有关闭调试模式所以导致敏感数据泄露,具体暴露信息如下,字段你懂的,调试域名曝光者已经打码。
Trump竞选网站的子域包含一个以纯文本形式显示的邮件服务器配置,可通过Laravel调试界面从任何Web浏览器看到该配置。理论上,任何人都可以使用这些凭据来模仿特朗普竞选活动,
并代表email.donaldtrump.com发送电子邮件进行攻击。
解决方案:
laravel关闭调试模式
mvim app/config/app.php
'debug' => False,
当然,上面的打码的信息已经找不到了,但我在网址上找到了另一个入口,一个专门卖特先生周边的网上商店。
除了帽子T恤外,居然还有吸管,钢笔。
还有浴巾,裹着特先生去冲凉。
最后还是可惜了,期待下次可以看到特先生的信息,毕竟靠周边支持,顺带着根据自己发布的政策,不知道赚了多少钱咯~
比如最新的消息:
美国媒体传芝商交易员等指责美利坚合众国总统特朗普涉嫌内幕交易获利数十亿美元,而SEC和芝加哥交易所不予置评。
Vanity Fair 老总威廉爆料特先生老鼠仓,只要发生中美相关消息,均会出现三个大交易,并且全都是收市前几分钟下的大单,然后在第二天特先生准时上线发推特,见文章,时间点在06/28, 08/23, 09/10。
而这几次交易,特先生总共盈利34.9亿美金,实在牛逼,有兴趣的可以来看看如此精彩的控盘操作。
https://www.vanityfair.com/news/2019/10/the-mystery-of-the-trump-chaos-trades
上期阅读:
667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
