PHP编程语言于年首次发布,23年后,仍然有成百上千的网站开发人员无法理解这样一个基本概念:调试和错误报告消息可能包含导致黑客攻击的信息,永远不应该在实时网站上激活这些信息。
根据网络安全公司Hacken网络风险研究总监BobDiachenko的说法,今天这个问题依旧存在。
Diachenko在互联网上搜索了一些用Laravel(用于构建web应用程序的PHP框架)编写的网站,这些网站正在调试模式暴露敏感信息。
“我已经提出了个IP的惊人列表,”Diachenko今天发表的研究报告中说。
Laravel调试模式中包含的信息取决于网站或Web应用程序使用的框架功能,从源代码的基本提示到调试信息的位置,以及调试信息在高度敏感的数据库和API证书上的位置。
“这些信息可能有助于攻击者获取更多信息,有可能专注于对目标系统的进一步攻击,”Diachenko说。
显然,最危险的案例是通过Laravel的调试模式消息以明文形式打印数据库和API凭证的网站。
“在过去的两周里,我已经负责地通知了22家公司”Diachenko说。
在Diachenko最近的一项研究中突出支出的一件事就是PrestoDaycare,这是瑞典的一家公司,主要负责开发基于网络的育儿平台。
该公司的网络服务允许教师,学前教职员工,经理和家长可以通过一个基于web的控制面板管理、参与和