在我 暴露的 .git 目录后，我又扫描了暴露的 .env 文件。在这次扫描中，我发现了 200 多个暴露的 .env 文件。除了无害的配置设置，我还发现了 135 个数据库用户和密码、48 个带密码的电子邮件用户帐户、11 个支付提供商的实时凭证（如 Stripe 或 Paypal）、98 个用于不同 API 的秘密令牌和 128 个应用程序秘密（安全生成会话的秘密ids、CSRF-tokens 和 JWT-tokens）和一些硬编码的管理员凭据。 第一次扫描    ：注意部署过程中的错误。切勿将隐藏的 .env 文件公开。  TLDR 我为什么这样做？ 我是 SDCat 一个软件开发人员，有着好奇的头脑，喜欢在引擎盖下到处寻找。在扫描了暴露的 .git 目录后，我决定更深入地研究这个兔子洞。并决定我将检查暴露的 .env 文件。 在这篇文章中，我描述了 .env 文件是什么，我如何扫描域以及一些关于在这些文件中发现什么的统计信息。对这些数据的分析有时会揭示不同服务和帐户的许多凭据。  .env 文件 每个软件都需要一些配置并具有各种设置。对于用户软件，如邮件客户端，这些设置，如电子邮件地址、用户名和密码，在软件第一次启动时需要用户请求。对于在服务器上运行且通常自动安装的软件，用户交互是不可能的。对于某些软件框架，可以通过环境变量指定这些设置，并在名为 .env 的文件中进行配置。 .env 文件是隐藏文件，因此默认情况下您看不到这些文件。  .env 文件示例：                                ENV= "PRODUCTION" 
 LOG_LEVEL= "INFO" 
 SMTP_HOST= "email.example.com" 
 SMTP_PORT= 25 
 SMTP_USER= "info@example.com" 
 SMTP_PASS= "SuperSecurePassword2022" 
 SMTP_TLS= 1 
 SMTP_CONNECTION_TIMEOUT_SECONDS= 2 
 DB_HOST= "dbserver.example.com" 
 DB_DATABASE_NAME= "important_database" 
 DB_USER= "my-app-db-user" 
 DB_PASSWORD= "2022SuperVerySecurePassword" 
 PAYMENT_GATEWAY= "payment.example.com" 
 PAYMENT_SECRET= "super-secure-payment-api-secret" 注意：我们建议使用比上述示例中提到的密码更安全的密码。 为什么暴露的 .env 文件有趣/危险？ 由于几乎每个 Web 应用程序都访问数据库或使用某些 API 进行通信，因此必须将这些凭据传递给应用程序。如果使用 .env 文件完成此操作，则凭据在此文件中以纯文本形式显示。当 Web 服务器配置错误并且此 .env 文件由 Web 服务器交付时，任何人都可以查询此数据。为此，只需使用浏览器访问一个 URL，例如：  https://example.com/.env。 危险的方面是密码和机密在 .env 文件中是未加密的形式。 我如何扫描 260 万个域以查找暴露的 .env 文件 获取域 我选择了一个允许DNS区域传输的国家来获取这个国家的所有域。下载完整的区域文件需要一些时间。使用一个简单的 python 脚本，我提取了 NS 记录并从这些记录中提取了域名。 扫描过程 我使用另一个 python 脚本读取域并向 发送请求。我还检查了 http://www.<domain>/.env、https://<domain>/.env 和 https://www.<domain>/.env。 http://<domain>/.env 忽略 SSL 证书检查很重要。我了解到许多文件是通过 https 找到的，但证书无效。通过忽略无效的 SSL 证书，无论如何都可以访问这些目录。 统计数据 我扫描了 260 万个域名，发现：  201 .env 文件 135 个带密码的数据库用户名 48 个电子邮件帐户凭据 11 次访问支付提供商（如 Stripe 或 Paypal）  98 个不同 API 的 API 密钥（例如信用检查 API）  128 个应用秘密 这些只是主要领域的结果。想象一下如果我们扫描所有子域会发生什么。我毫不怀疑你会在那里找到更多。 如何检查我的域是否受到影响？ 您可以使用核心模板扫描您的域和子域，也可以使用 类的服务自动检查您的域和子域中是否有暴露的敏感文件。 scan.nan.io 之 ：检查您的服务器和部署以不暴露隐藏的 .env 文件。 带走 发布 也在 这里 。

Stripe

Super

Protect your domain from such data leaks

Read My Stories

該音頻是用故事的原始語言製作的！

扫描 260 万个域以查找暴露的 .Env 文件

About Author

註釋

標籤

这篇文章刊登在

Related Stories

扬帆起航：利用数据湖开发生产级 RAG 应用程序

Telegram：加密岛通往大陆的桥梁

比特币 UTXO 模型，为独特的生态系统提供动力

Floki 的 Valhalla 成为印度环斯里兰卡赛事联合赞助商

扬帆起航：利用数据湖开发生产级 RAG 应用程序

Telegram：加密岛通往大陆的桥梁

比特币 UTXO 模型，为独特的生态系统提供动力

Floki 的 Valhalla 成为印度环斯里兰卡赛事联合赞助商

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps