Laravel SMTP Açığı

Xcatze isimli bir tool ile (laravel 11 dahil) laravel ile geliştirilmiş bir siteye ait .env dosya bilgileri ele geçirilebiliyor.

Eski tarihli bir tool olmasına rağmen sürekli güncelleme alarak günümüz itibariyle halen çalışmaktadır. Laravel geliştiricilerin dikkat etmesini tavsiye ederim.


Önlem için .env dosyanızda APP_DEBUG değerinin false olduğundan emin olun ve htaccess dosyanıza aşağıdaki kodu ekleyin:

<FilesMatch "^\.env$">
    Order allow,deny    Deny from all
</FilesMatch>

Kaynak

.env dosyasının public_html klasöründe tutulmaması artı bi güvenlik sağlıyor tavsiye ederim.

tool adı silersen daha mantıklı

Değişik bir açık. Olayı ne tam anlamadım?

o açık değil debug on olunca route get olan bir sayfaya post atarsanız response olarak debug page gelir. O sayfadada env details yer alır.

1. App_debug true şeklinde production atmayın yazılımı.
2. public_html, httpdocs içerisinde kök yazılımı atmayın. Private dir de saklayın.

Artık adına zafiyet mi dersiniz, hatalı yazılım mı dersiniz yoksa açık mi dersin bilmem. Faydası olur diye düşündüğüm bilgileri ara sıra paylaşıyorum.

Tool şuan çalışıyor ve siteyeye ait SMTP bilgilerini istenilen mail adresine gönderiyor.

Unutkanlıktan kaynaklı açık diyelim framework bazında bir açık değil çünkü tamamen debug mode kapatmayı unutan yazılımcının suçu