Daftar Dork Information Disclosure Laravel .ENV 2021

Laravel-App_Key

Laravel App_Key RCE - Mencari bug bukan lagi soal yang susah, melainkan memanfaatkan kelalaian dari admin website yang bersangkutan. Pasalnya masih banyak website yang tidak sadar akan bahayanya lokasi path .env jika terbuka secara publik. Sebab kami menemukan tools automatis yang mengeksploitasi kerentanan Laravel App_Key RCE.

Sekedar informasi, Laravel merupakan salah satu framework terbaik yang di desain untuk pengembang website agar mendapatkan hasil yang maksimal dengan cepat tanpa merancangnya dari awal. Banyak webmaster dunia yang sudah beralih ke framework ini dan bahkan perusahaan-perusahaan di Indonesia juga membuka lowongan pekerjaan untuk mencari webmaster Laravel.

Rating Laravel di Indonesia cukup bagus dibanding framework lain, karena basisnya bisa digunakan untuk skala kecil maupun besar dengan beragam ekosistem seperti Vapor, Forge, Envoyer, Horizon, Nova, Echo, Lumen, Spark, Jetstream dan masih banyak lagi. Untuk membantu pengembang website dalam menyelesaikan tugasnya, Laravel juga membuat forum diskusi secara publik yang membahas seputar permasalahan yang sedang kamu rasakan.

Framework Laravel bisa kamu terapkan di sistem operasi Windows, Linux maupun macOS dan jika kamu kebingungan bagaimana cara menginstallnya, maka tidak perlu khawatir, karena dokumentasi lengkap akan menemanimu sepanjang waktu yang siap dibaca dan dipraktikkan. Sebelum menggunakan framework Laravel, ada baiknya kamu memahami dan belajar tentang PHP Native, OOP atau basicnya terlebih dahulu karena framework ini terlalu kompleks bagi pemula.

Pada dasarnya, framework Laravel memiliki keamanan yang cukup bagus untuk mencegah serangan Cross-site-scripting (XSS), Storing Password / Password Hashing, Authentication Users, Encryption, CSRF maupun SQL Injection. Meskipun berhasil mencegah serangan semacam ini, nyatanya peretasan tetap terjadi yang memanfaatkan keterbukaannya direktori dari .env yang berisikan Laravel App_Key, sehingga si hacker dapat mengeksploitasi remote code execution secara langsung.

Berikut daftar dork Laravel Information Disclusure .ENV App_Key 2021:
  • APP_DEBUG filetype:env
  • APP_ENV "local"
  • DB_USERNAME filetype:env
  • DB_PASSWORD filetype:env
  • intext: directory listing "APP_ENV" 
  • intext: directory listing "/.env"
  • inurl:/.env "directory" "MAIL_"
  • site:*.target.com inurl:/.env intext:MAIL_USERNAME
  • site:*.*.target.com intext:APP_KEY
  • intext:hacked "APP_KEY" @Powered
  • REDIS_PASSWORD filetype:env
  • filename:.env intext:MAIL_HOST site:target.com
  • APP_URL "localhost"
  • intitle:index of "env.bak"
Berikut credential token yang bisa kamu dapatkan dari Laravel Env:
  • AWS_Key
  • AWS_Access_Key
  • Mangopay
  • Stripe
  • Pusher
  • PlugandPlay
  • Paypal
  • Mailchimp
  • Facebook
  • PhantomJS
  • Mailgun
  • Twitter
  • JWT
  • Google
  • WeChat
  • Shopify
  • Nexmo.
  • Bitly
  • Braintree
  • Twilio
  • Recaptcha
  • Ucloud
  • Firebase
  • Mandrill
  • Slack
  • Sentry.io
  • Shopzcoin
Jika kamu menemukan file tersebut, sebaiknya laporkan kepada pihak admin website agar segera ditutup dan mencegah terjadinya serangan deface dan jika beruntung, mungkin saja kamu akan mendapatkan rewards dari pihak yang bersangkutan. Kami berharap penggunaan dork ini tidak disalahgunakan untuk aktivitas melanggar hukum.

Posting Komentar

0 Komentar