Estoy usando un servidor NGINX para alojar un sitio web estático expuesto a Internet abierto. Mientras revisaba los registros de acceso, encontré un grupo de solicitudes de recursos que terminaban en .env, por ejemplo:
"GET /bedesk1.1/.env HTTP/1.1"
"GET /test/bedesk1.1/.env HTTP/1.1"
"GET /.env HTTP/1.1"
"GET /.env.local HTTP/1.1"
"GET /database/.env HTTP/1.1"
"GET /public/.env HTTP/1.1"
"GET /admin/.env HTTP/1.1"
"GET /api/.env HTTP/1.1"
"GET /API/.env HTTP /1.1"
"GET /blog/.env HTTP/1.1"
"GET /.env.backup HTTP/ 1.1" "GET
/.env.save HTTP/1.1"
"GET /app/.env HTTP/1.1"
"GET / dev/.env HTTP/1.1"
"OBTENER /env/.env HTTP/1.1"
"OBTENER /core/.env HTTP/1.1"
Supongo que se trata de un rastreador web con script que busca .envarchivos en rutas de recursos de uso común.
- ¿Alguien tiene alguna idea de lo que estaban buscando?
- ¿Qué esperarían hacer con esa información si la hubieran encontrado?
- ¿En qué circunstancias esos recursos existirían realmente y serían accesibles desde la web?
Respuesta1
estaban buscando.envarchivos, que comúnmente contiene variables de entorno utilizadas, por ejemplo, en implementaciones de Docker. Estos archivos suelen contener credenciales para bases de datos, etc., por lo que serían de gran interés para cualquier atacante.
Normalmente NO se debería poder acceder a estos archivos desde la web, pero se producen errores de configuración todo el tiempo...