Как видно из названия, у нас есть веб-сайт, который использует сторонние учетные данные smtp для отправки электронных писем, но мы продолжаем взламывать наши учетные данные smtp и использовать их для рассылки спама электронных писем, что приводит к приостановке нашей учетной записи smtp, мы сначала использовали ses, а затем решили, что нам нужно добавить spf, dkim и dmarc, после того, как мы добавили их, мы перешли на sendgrid, снова были взломаны, товарищи по команде думают, что это из-за слабого пароль для доступа к sendgrid, но я так не думаю, потому что тест пароля говорит, что он надежен и требует 2 тысяч лет для взлома, мы действительно не знаем проблемы, мы используем laravel 7 для нашего веб-сайта, как хакер может доступ к .env файлу?
Помогите, пожалуйста.
Вы используете nginx? Я была такая же проблема. Следуя подсказке @PetrChloupek, я проанализировал журналы доступа (/var/log/nginx/access.log) и обнаружил, что иногда агент может получить 200 из «/.env». Оказалось, что конфигурация nginx была такова, что при использовании только ip (vg 12.244.21.21 вместо «mywebsite.com») вредоносный агент попадал в /var/www/html, а не в общую папку, как указано в файл конфигурации nginx, так как он имел дело только с указанным хостом (vg"mywebsite.com").
Существует известная проблема, связанная с тем, что разработчики оставляют APP_DEBUG = true
в работающих системах. Это означает, что вы можете инициировать вывод страницы отладки, содержащей .env
. ] ключи и значения.
https://www.mailgun.com/blog/a-word-of-caution-for-laravel-developers/
Простой способ вызвать проблему, если она уязвима, — сделать неподдерживаемый запрос, например. запрос POST/PUT к известному маршруту GET, такому как индекс сайта '/', в случаях, когда для DEBUG установлено значение true, это приведет к выводу всех переменных окружения.