如何解决新手需要帮助 这是合法的吗?
这里的新手程序员,我正在尝试编辑我的 twilio 身份验证令牌,这是让我的帐户取消暂停的必要步骤,因为当我在文件中发现此令牌时,有人有权访问并发送垃圾短信(来自亚马逊)
AWS_ACCESS_KEY_ID=AKIARVCAGCHDOPJ64U7J
AWS_SECRET_ACCESS_KEY=...
AWS_DEFAULT_REGION=us-east-2
AWS_BUCKET=kani-spicy-images
AWS_VISIBILITY=public
考虑到我没有任何 aws 帐户并且不知道这在我的应用程序中做了什么,想看看它是否是应用程序的某种后门入口?以及可能是攻击者利用我的帐户发送垃圾邮件的途径?
解决方法
当您在 cPanel 上托管时,这显然会发生。您上传了附加到代码的 env 文件并将其留在服务器的根目录中。这是非常非法和暴露的。但这就是我想发生的事情。你的 cPanel 被黑了,暴露了 env 文件并添加了脚本,该脚本可能正在发送非法内容。
首先,更改您的 cPanel 密码,删除 AWS 变量并查看您的文件中是否有意外文件。您可以向您的提供者报告这种情况,如果您这样做会很有帮助。
其次,将您的公用文件夹移动到根文件夹下并更新 bootstrap.php 文件以找到移动的公用文件夹。这样就安全了。
最后,我不确定是否有任何后门,但有更好的托管平台,安全且专用于 Laravel。 Forge、Fort Rabbit 等。将 Heroku 添加到列表中,但不添加 Laravel 专用托管。
部署到生产环境时通常不包含 env 文件,但很明显,当您在 cPanel 上托管时,您不能忽略它。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
