Учетные данные электронной почты smtp то и дело взламывают (laravel 7)
Как видно из названия, у нас есть веб-сайт, который использует сторонние учетные данные smtp для отправки электронных писем, но мы продолжаем взламывать наши учетные данные smtp и использовать их для рассылки спама, что приводит к приостановке нашей учетной записи smtp, мы сначала использовали ses и затем решил, что нам нужно добавить spf, dkim и dmarc, после того, как мы их добавили, мы перешли в sendgrid, снова взломали, товарищи по команде думают, что это из-за слабого пароля для доступа к sendgrid, но я так не думаю, потому что тест пароля говорит он силен и требует 2 тысяч лет для взлома, мы действительно не знаем проблемы, мы используем laravel 7 для нашего веб-сайта, как хакер может получить доступ к файлу.env?
Помоги пожалуйста.
2 ответа
Вы используете nginx? У меня была такая же проблема. Следуя совету @PetrChloupek, я проанализировал журналы доступа (/var/log/nginx/access.log) и обнаружил, что иногда агент может получить 200 из "/.env". Оказалось, что конфигурация nginx была такова, что при использовании только ip (vg 12.244.21.21 вместо «mywebsite.com») вредоносный агент поражал /var/www/html, а не общую папку, как указано в файл конфигурации nginx, поскольку он касается только указанного хоста (vg"mywebsite.com").
Известна проблема с уходом разработчиковAPP_DEBUG = trueв работающих системах это означает, что вы можете вызвать вывод страницы отладки, содержащей.envключи и значения.
https://www.mailgun.com/blog/a-word-of-caution-for-laravel-developers/
Простой способ вызвать проблему, если она уязвима, — это отправить неподдерживаемый запрос, например запрос POST/PUT к известному маршруту GET, такому как индекс сайта '/'. В тех случаях, когда для параметра DEBUG установлено значение true, выводятся все переменные окружения.