[Laravel] .env compromis avec xCATZE
mardi 13 avril 2021Je vais vous parler ici de la grande importance d’une variable d’environnement dans le framework laravel.
Cette variable d’environnement est bien sur le paramètre:
APP_DEBUG
Qui est un paramètre très utile lors du développement de votre application car il est permet d’afficher toutes les variables disponibles lorsqu’un bug se produit.
Du coup, il est impératif de mettre cette variable à false en production !
Car en effet, il existe des outils tel que le programme xCATZE qui est très utilisé pour permettre de générer une erreur sur votre site internet et ainsi d’afficher la page « oops » de laravel.
Ce qui est assez facile avec laravel à produire comme essayer une simple requête POST sans paramètre sur le site.
Et du coup de parcourir le contenu de votre fichier .env qui s’affiche dans cette page.
Grâce a ce petit outil, vous pouvez du coup avoir accès aux paramètres smtp de votre site internet et donc l’utiliser pour envoyer du spam !
En résumé, toujours bien s’assurer de la valeur de ce paramètre sdans votre fichier .env
APP_DEBUG=false
Il faut savoir que ce genre d’attaque risque de bloquer votre compte gmail si vous utiliser le serveur smtp de google.
Du coup, google désactivera automatiquement tous vos « app passwords » lié aux compte ce qui engendre de devoir les régénérer et remplacer les mots de passes dans vos applications/sites web.