Laravel: Cách khắc phục lỗ hổng .env

Nếu bạn đang sử dụng Laravel để phát triển website thì rất có thể tất cả thông tin nhạy cảm trên trang web của bạn sẽ được nhìn thấy một cách dễ dàng.

Bằng cách nào?

Đơn giải là người ta đặt .env ở cuối domain của website của bạn.

Ví dụ như thế này:

https://v1study.com/.env

Mức độ nguy hiểm của điều này là gì?

Tin tặc/kẻ tấn công (Hackers/Attackers) có thể xem thông tin nhạy cảm trên trang web của bạn, chẳng hạn như tên người dùng và mật khẩu trên cơ sở dữ liệu và smtp.

Làm thế nào để khắc phục (fix) điều này?

Tại file .htaccess ta thiết lập như sau:

# Tắt chế độ xem chỉ mục (Disable index view)
Options -Indexes

# Ẩn một tệp cụ thể (Hide a specific file)
<Files .env>
  Order allow,deny
  Deny from all
</Files>

Sự cố sẽ được giải quyết, hy vọng rằng lỗ hổng này có thể sớm được khắc phục.