Режим отладки веб-приложений PHP-платформы Laravel может стать причиной утечки важной информации на сайте. К такому выводу пришел эксперт исследовательской компании Hacken Боб Дьяченко (Bob Diachenko), проанализировавший данные более чем 500 веб-ресурсов, чьи администраторы не деактивировали debug-опцию на своих площадках.

Как заявил ИБ-специалист, панель отладки используется веб-программистами для контроля работы сайта. Она доступна через окно браузера и может содержать ряд конфиденциальных сведений, таких как внутренние адреса компонентов системы, логины, пароли и даже ключи шифрования. Из-за особенностей разработки на PHP все они доступны в текстовом виде (plain text, HTML).

После завершения обслуживания режим отладки следует отключать, однако не все администраторы обращают на это внимание. При помощи поисковиков Shodan и BinaryEdge Дьяченко обнаружил 566 активных веб-ресурсов с доступом к панели разработчика. В большинстве случаев она не содержала конфиденциальные сведения, однако, по мнению специалистов, даже сведения о внутренних URL-адресах или названиях баз данных могут быть использованы злоумышленниками для последующих атак.

На сайтах 22 компаний в отладочном модуле содержалась действительно важная информация. Эксперт обнаружил незащищенные логины и пароли баз данных, ключи шифрования и другие сведения, при помощи которых злоумышленники могут скомпрометировать веб-ресурс. Дьяченко оповестил о проблеме владельцев уязвимых площадок, однако ответили эксперту представители лишь 17 организаций.

Так, администраторы шведского стартапа, продвигающего систему электронного дневника для школ, откликнулись только после обращения в местную Компьютерную группу реагирования на чрезвычайные ситуации (CERT-SE) и обращений пользователей в Twitter.

Язык PHP был создан более двух десятков лет назад и содержит немало уязвимостей, которые могут быть проэксплуатированы киберпреступниками. Некоммерческий проект FriendsOfPHP собирает базу выявленных багов этого средства веб-разработки. Сформированный энтузиастами на GitHub архив надежных библиотек скриптового языка был загружен уже более 2 млн раз.

Категории: Главное, Кибероборона, Уязвимости