我收到了一個較舊的 Laravel 5.7 專案。 Laravel 的當前版本是 8。我有一個測試伺服器,運行一個 IP 位址(無網域),讓客戶端在我將新功能推送到 GitHub 時查看進度。此 GitHub 專案設定為私有,且伺服器已正確配置為僅顯示公用資料夾。私有倉庫也沒有硬編碼.env文件,所以即使有人進入我的 GitHub,他也無法從該.env文件中獲取任何真實信息,因為它是空白的並且是直接在伺服器上配置的。
我的主要問題。我使用 Mailtrap 進行測試,但我不斷收到以下未經授權的郵件:
我嘗試刪除我的 Mailtrap 郵箱並重新創建它以獲取新憑證,但某些隨機腳本小子總是會碰巧破解 SMTP 伺服器。目前,由於我的 SMTP 已連接到 Mailtrap,因此這是無害的。但當我在網路上找到真正的網站時,我擔心這些駭客是如何做到這一點的。
有任何想法嗎?
答案1
發生這種情況的主要原因是:
- 您的生產網站是 APP_DEBUG=true
將 .env 中的設定更改為 false 以進行調試模式,否則,如果任何人都可以讓您的網站顯示錯誤頁面,則您的應用程式詳細資訊將可見。
- 您的網站配置不正確且 .env 可見
嘗試訪問 yourwebsite.com/.env 或 your.ip.add.ress/.env 並查看是否可以查看 .env 文件
- 您已將 Laravel 安裝到子目錄中,這表示您的網站檔案是可見的