laravel配置文件env中的邮箱信息被泄露

问答 / 1 / 10 / 创建于 2年前

今天突然发现，我们使用的微软邮箱的SMTP服务，然后这个邮箱里面给别人发送了配置在env文件中的邮箱信息，导致邮箱被盗。
下面就是发送出去的邮件内容。出现这种情况是和服务器的安全防护有关吗？还是和框架内的一些设置有关系呢？框架版本7.29
LARAVEL SMTP CRACK | HOST: smtp.office365.com

URL : http://ip地址/.env

HOST : smtp.office365.com

PORT : 587

USER : 邮箱

PASSW : 密码

SENDER : 发送人

Laravel框架试用SMTP服务发送邮件，有可能被反向获取到邮箱账号密码吗？

7 声望

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

讨论数量: 10

kis龍

Laravel 9.x 译者 498 声望

邮箱可以单独申请一个，专门用来发送邮件通知信息

然后在自己邮箱再把这个加到通讯录或白名单，避免收不到邮件

PS: env 变量可以在 $_SERVER 中看到

2年前评论

keller

课程读者 5 声望

运行目录不应该是在public下吗？

2年前评论

zimomo （楼主）

运行目录指向public下，env文件和public平级。无法通过读取文件的形式来获取文件内容。

minororange

Laravel 9.x 译者 356 声望

线上的 APP_ENV 是 production 吗，如果是 local ，线上报错的时候会打印 env 信息到网页上

2年前评论

zimomo （楼主）

APP_ENV是local debug是false的话线上报错应该不会输出env信息吧

markyanggang

19 声望

重要信息 k8s docker环境变量打入.env .env 测试与正式应该不一样的这种文件安全管理...

2年前评论

zimomo

7 声望

file 有人见过这个工具吗？我的账号密码好像就是被这个工具搞走的，但是我很明确我的debug是关着的，并且public下面没有env文件。

2年前评论

wwzorz

这个事没有人管吗? 这个工具作者是不是larvael 官方的人

porygonCN

Laravel 8.x 译者 177 声望 / 后端开发 @ 山重建机

laravel news去年就发布了相关的内容, 很明显这是个攻击工具,laravel官方说明了这是直接攻击服务器而不是通过laravel的漏洞实现的建议排查服务器安全配置

2年前评论

xiewha

课程读者 0 声望

我也遇到过，貌似是他把配置的 SMTP 信息通过邮件发送到他自己的邮箱

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助