laravel配置文件env中的邮箱信息被泄露

问答 / 373 / 10 / 创建于 1年前

今天突然发现，我们使用的微软邮箱的SMTP服务，然后这个邮箱里面给别人发送了配置在env文件中的邮箱信息，导致邮箱被盗。
下面就是发送出去的邮件内容。出现这种情况是和服务器的安全防护有关吗？还是和框架内的一些设置有关系呢？框架版本7.29
LARAVEL SMTP CRACK | HOST: smtp.office365.com

URL : http://ip地址/.env

HOST : smtp.office365.com

PORT : 587

USER : 邮箱

PASSW : 密码

SENDER : 发送人

Laravel框架试用SMTP服务发送邮件，有可能被反向获取到邮箱账号密码吗？

7 声望

暂无个人描述~

《L01 基础入门》

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

推荐文章：

更多推荐...

面试 POPER 的后端开发工程师的离奇经历 34 / 104 |

高效办公小技巧——如何批量处理 SQL 文件？ 19 / 10 |

Mysql 的 varchar 字段最大长度真的是 65535 吗？ 34 / 10 |

失业两个月找存在感系列——几行代码轻松实现laravel链式追踪，一分钟快速排查系统问题 23 / 19 |

测试用 Octane 加速 Laravel10，并发达到4倍左右，同时对比Hyperf3压力测试 20 / 25 |

📙《高并发的哲学原理》开源图书发布十一天 star 数已经破千！ 47 / 16 |

讨论数量: 10

kis龍

Laravel 9.x 译者 426 声望

邮箱可以单独申请一个，专门用来发送邮件通知信息

然后在自己邮箱再把这个加到通讯录或白名单，避免收不到邮件

PS: env 变量可以在 $_SERVER 中看到

1年前评论

keller

课程读者 4 声望

运行目录不应该是在public下吗？

1年前评论

zimomo （楼主）

运行目录指向public下，env文件和public平级。无法通过读取文件的形式来获取文件内容。

minororange

Laravel 9.x 译者 352 声望

线上的 APP_ENV 是 production 吗，如果是 local ，线上报错的时候会打印 env 信息到网页上

1年前评论

zimomo （楼主）

APP_ENV是local debug是false的话线上报错应该不会输出env信息吧

markyanggang

19 声望

重要信息 k8s docker环境变量打入.env .env 测试与正式应该不一样的这种文件安全管理...

1年前评论

zimomo

7 声望

file 有人见过这个工具吗？我的账号密码好像就是被这个工具搞走的，但是我很明确我的debug是关着的，并且public下面没有env文件。

1年前评论

wwzorz

这个事没有人管吗? 这个工具作者是不是larvael 官方的人

porygonCN

Laravel 8.x 译者 177 声望 / 后端开发 @ 山重建机

laravel news去年就发布了相关的内容, 很明显这是个攻击工具,laravel官方说明了这是直接攻击服务器而不是通过laravel的漏洞实现的建议排查服务器安全配置

1年前评论

xiewha

课程读者 0 声望

我也遇到过，貌似是他把配置的 SMTP 信息通过邮件发送到他自己的邮箱

1年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助