在我 暴露的 .git 目录后，我又扫描了暴露的 .env 文件。在这次扫描中，我发现了 200 多个暴露的 .env 文件。除了无害的配置设置，我还发现了 135 个数据库用户和密码、48 个带密码的电子邮件用户帐户、11 个支付提供商的实时凭证（如 Stripe 或 Paypal）、98 个用于不同 API 的秘密令牌和 128 个应用程序秘密（安全生成会话的秘密ids、CSRF-tokens 和 JWT-tokens）和一些硬编码的管理员凭据。 第一次扫描    ：注意部署过程中的错误。切勿将隐藏的 .env 文件公开。  TLDR 我为什么这样做？ 我是 SDCat 一个软件开发人员，有着好奇的头脑，喜欢在引擎盖下到处寻找。在扫描了暴露的 .git 目录后，我决定更深入地研究这个兔子洞。并决定我将检查暴露的 .env 文件。 在这篇文章中，我描述了 .env 文件是什么，我如何扫描域以及一些关于在这些文件中发现什么的统计信息。对这些数据的分析有时会揭示不同服务和帐户的许多凭据。  .env 文件 每个软件都需要一些配置并具有各种设置。对于用户软件，如邮件客户端，这些设置，如电子邮件地址、用户名和密码，在软件第一次启动时需要用户请求。对于在服务器上运行且通常自动安装的软件，用户交互是不可能的。对于某些软件框架，可以通过环境变量指定这些设置，并在名为 .env 的文件中进行配置。 .env 文件是隐藏文件，因此默认情况下您看不到这些文件。  .env 文件示例：                                ENV= "PRODUCTION" 
 LOG_LEVEL= "INFO" 
 SMTP_HOST= "email.example.com" 
 SMTP_PORT= 25 
 SMTP_USER= "info@example.com" 
 SMTP_PASS= "SuperSecurePassword2022" 
 SMTP_TLS= 1 
 SMTP_CONNECTION_TIMEOUT_SECONDS= 2 
 DB_HOST= "dbserver.example.com" 
 DB_DATABASE_NAME= "important_database" 
 DB_USER= "my-app-db-user" 
 DB_PASSWORD= "2022SuperVerySecurePassword" 
 PAYMENT_GATEWAY= "payment.example.com" 
 PAYMENT_SECRET= "super-secure-payment-api-secret" 注意：我们建议使用比上述示例中提到的密码更安全的密码。 为什么暴露的 .env 文件有趣/危险？ 由于几乎每个 Web 应用程序都访问数据库或使用某些 API 进行通信，因此必须将这些凭据传递给应用程序。如果使用 .env 文件完成此操作，则凭据在此文件中以纯文本形式显示。当 Web 服务器配置错误并且此 .env 文件由 Web 服务器交付时，任何人都可以查询此数据。为此，只需使用浏览器访问一个 URL，例如：  https://example.com/.env。 危险的方面是密码和机密在 .env 文件中是未加密的形式。 我如何扫描 260 万个域以查找暴露的 .env 文件 获取域 我选择了一个允许DNS区域传输的国家来获取这个国家的所有域。下载完整的区域文件需要一些时间。使用一个简单的 python 脚本，我提取了 NS 记录并从这些记录中提取了域名。 扫描过程 我使用另一个 python 脚本读取域并向 发送请求。我还检查了 http://www.<domain>/.env、https://<domain>/.env 和 https://www.<domain>/.env。 http://<domain>/.env 忽略 SSL 证书检查很重要。我了解到许多文件是通过 https 找到的，但证书无效。通过忽略无效的 SSL 证书，无论如何都可以访问这些目录。 统计数据 我扫描了 260 万个域名，发现：  201 .env 文件 135 个带密码的数据库用户名 48 个电子邮件帐户凭据 11 次访问支付提供商（如 Stripe 或 Paypal）  98 个不同 API 的 API 密钥（例如信用检查 API）  128 个应用秘密 这些只是主要领域的结果。想象一下如果我们扫描所有子域会发生什么。我毫不怀疑你会在那里找到更多。 如何检查我的域是否受到影响？ 您可以使用核心模板扫描您的域和子域，也可以使用 类的服务自动检查您的域和子域中是否有暴露的敏感文件。 scan.nan.io 之 ：检查您的服务器和部署以不暴露隐藏的 .env 文件。 带走 发布 也在 这里 。

Stripe

Super

Protect your domain from such data leaks

Read My Stories

該音頻是用故事的原始語言製作的！

扫描 260 万个域以查找暴露的 .Env 文件

About Author

註釋

標籤

这篇文章刊登在

Related Stories

想赢得 HackerNoon 写作比赛吗？以下是 #crypto-api 比赛获奖者的推荐

Floki 的 Valhalla 成为印度环斯里兰卡赛事联合赞助商

成功云迁移的完整指南：策略和最佳实践

使用这 18 种开发工具来提高你的工作效率 🚀🔥

想赢得 HackerNoon 写作比赛吗？以下是 #crypto-api 比赛获奖者的推荐

Floki 的 Valhalla 成为印度环斯里兰卡赛事联合赞助商

成功云迁移的完整指南：策略和最佳实践

使用这 18 种开发工具来提高你的工作效率 🚀🔥

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps