उजागर .git निर्देशिकाओं के लिए मेरे के बाद, मैंने उजागर .env फ़ाइलों के लिए एक और स्कैन किया। इस स्कैन के दौरान मुझे 200 से अधिक उजागर .env फ़ाइलें मिलीं। हानिरहित कॉन्फ़िगरेशन सेटिंग्स के अलावा मुझे 135 डेटाबेस उपयोगकर्ता और पासवर्ड, पासवर्ड के साथ 48 ई-मेल उपयोगकर्ता खाते, भुगतान प्रदाताओं के लिए 11 लाइव क्रेडेंशियल (जैसे स्ट्राइप या पेपैल), विभिन्न एपीआई के लिए 98 गुप्त टोकन और 128 ऐप रहस्य (सुरक्षित रूप से सत्र उत्पन्न करने के लिए रहस्य) मिले आईडी, सीएसआरएफ-टोकन और जेडब्ल्यूटी-टोकन) और कुछ हार्ड कोडित व्यवस्थापक क्रेडेंशियल। पहले स्कैन : परिनियोजन प्रक्रिया में गलतियों से सावधान रहें। अपनी छिपी हुई .env फ़ाइल को कभी भी जनता के सामने प्रकट न करें। TLDR मैंने ऐसा क्यों किया? मैं एसडीकैट एक जिज्ञासु दिमाग वाला एक सॉफ्टवेयर डेवलपर हूं जो हर जगह हुड के नीचे देखना पसंद करता है। उजागर .git निर्देशिकाओं के लिए मेरे स्कैन के बाद मैंने इस खरगोश के छेद में गहराई तक जाने का फैसला किया। और फैसला किया कि मैं उजागर .env फाइलों की जांच करूंगा। इस पोस्ट में मैं वर्णन करता हूं कि .env फ़ाइल क्या है, मैंने डोमेन को कैसे स्कैन किया और इन फ़ाइलों में क्या पाया गया, इसके बारे में कुछ आँकड़े। इस डेटा के विश्लेषण से कभी-कभी विभिन्न सेवाओं और खातों के लिए कई साख का पता चलता है। .env फ़ाइल प्रत्येक सॉफ़्टवेयर को कुछ कॉन्फ़िगरेशन की आवश्यकता होती है और इसमें विभिन्न सेटिंग्स होती हैं। उपयोगकर्ता सॉफ़्टवेयर के मामले में, जैसे कि मेल क्लाइंट, इन सेटिंग्स, जैसे ईमेल पता, उपयोगकर्ता नाम और पासवर्ड, उपयोगकर्ता से पहली बार सॉफ़्टवेयर प्रारंभ होने पर अनुरोध किया जाता है। सॉफ़्टवेयर के लिए जो सर्वर पर चलता है और अक्सर स्वचालित रूप से स्थापित होता है, उपयोगकर्ता सहभागिता संभव नहीं है। कुछ सॉफ़्टवेयर फ़्रेमवर्क के लिए, इन सेटिंग्स को पर्यावरण चर के माध्यम से निर्दिष्ट किया जा सकता है और .env नाम की फ़ाइल में कॉन्फ़िगर किया जा सकता है। .env फ़ाइलें छिपी हुई फ़ाइलें हैं, इसलिए आप इन फ़ाइलों को डिफ़ॉल्ट रूप से नहीं देखते हैं। एक .env फ़ाइल का उदाहरण: ENV= "PRODUCTION" LOG_LEVEL= "INFO" SMTP_HOST= "email.example.com" SMTP_PORT= 25 SMTP_USER= "info@example.com" SMTP_PASS= "SuperSecurePassword2022" SMTP_TLS= 1 SMTP_CONNECTION_TIMEOUT_SECONDS= 2 DB_HOST= "dbserver.example.com" DB_DATABASE_NAME= "important_database" DB_USER= "my-app-db-user" DB_PASSWORD= "2022SuperVerySecurePassword" PAYMENT_GATEWAY= "payment.example.com" PAYMENT_SECRET= "super-secure-payment-api-secret" नोट: हम ऊपर दिए गए उदाहरणों में बताए गए पासवर्ड की तुलना में अधिक सुरक्षित पासवर्ड की सलाह देते हैं। क्यों उजागर .env फ़ाइलें दिलचस्प/खतरनाक हैं? चूंकि लगभग हर वेब एप्लिकेशन डेटाबेस तक पहुंचता है या संचार के लिए कुछ एपीआई का उपयोग करता है, इसलिए इन क्रेडेंशियल्स को एप्लिकेशन को पास किया जाना चाहिए। यदि यह .env फ़ाइल का उपयोग करके किया जाता है, तो क्रेडेंशियल इस फ़ाइल में सादे पाठ में हैं। जब वेब सर्वर गलत तरीके से कॉन्फ़िगर किया जाता है और यह .env फ़ाइल वेब सर्वर द्वारा वितरित की जाती है, तो कोई भी इस डेटा को क्वेरी कर सकता है। ऐसा करने के लिए, एक ब्राउज़र के साथ सिर्फ एक यूआरएल पर जा सकते हैं, जैसे: https://example.com/.env। खतरनाक पहलू यह है कि पासवर्ड और रहस्य .env फ़ाइल में अनएन्क्रिप्टेड रूप में होते हैं। मैंने उजागर .env फ़ाइलों के लिए 2.6 मिलियन डोमेन को कैसे स्कैन किया डोमेन प्राप्त करना मैंने एक ऐसा देश चुना है जो इस देश के सभी डोमेन प्राप्त करने के लिए DNS ज़ोन स्थानांतरण की अनुमति देता है। संपूर्ण ज़ोन फ़ाइल को डाउनलोड करने में कुछ समय लगेगा। एक साधारण पायथन लिपि के साथ, मैंने एनएस रिकॉर्ड निकाले और इन रिकॉर्ड्स से डोमेन नाम निकाले। स्कैनिंग प्रक्रिया एक अन्य पायथन लिपि के साथ मैं डोमेन पढ़ता हूं और पर एक अनुरोध भेजता हूं। मैंने http://www.<domain>/.env, https://<domain>/.env और https://www.<domain>/.env को भी चेक किया। http://<domain>/.env एसएसएल प्रमाणपत्र जांच को अनदेखा करना महत्वपूर्ण है। मुझे पता चला कि कई फाइलें https पर मिलीं लेकिन एक अमान्य प्रमाणपत्र के साथ। अमान्य एसएसएल प्रमाणपत्रों को अनदेखा करके इन निर्देशिकाओं को वैसे भी एक्सेस किया जा सकता है। आँकड़े मैंने 2.6 मिलियन डोमेन स्कैन किए और पाया: 201 .env फ़ाइलें पासवर्ड के साथ 135 डेटाबैंक उपयोगकर्ता नाम 48 ईमेल खाता क्रेडेंशियल भुगतान प्रदाताओं तक 11 पहुंच (जैसे स्ट्राइप या पेपैल) विभिन्न एपीआई के लिए 98 एपीआई कुंजी (जैसे क्रेडिट चेक एपीआई) 128 ऐप रहस्य ये केवल मुख्य डोमेन के परिणाम हैं। कल्पना कीजिए कि क्या होगा यदि हम सभी उप डोमेन स्कैन करें। मुझे इसमें कोई संदेह नहीं है कि आपको वहां और भी बहुत कुछ मिलेगा। मेरा डोमेन प्रभावित हुआ है या नहीं, इसकी जांच कैसे करें? आप अपने डोमेन और सबडोमेन को एक न्यूक्लियर टेम्प्लेट के साथ स्कैन कर सकते हैं या आप अपने डोमेन और सबडोमेन को उजागर संवेदनशील फाइलों के लिए स्वचालित रूप से जांचने के लिए जैसी सेवा का उपयोग कर सकते हैं। scan.nan.io : छिपी हुई .env फ़ाइल को उजागर न करने के लिए अपने सर्वर और परिनियोजन की जाँच करें। दूर ले जाएं