Laravel框架是目前許多網站,APP運營者都在(zài)使用的一款開發框架,正因爲(wéi)使用的網站較多,許多攻擊者都在(zài)不停的對該網站進行漏洞測試,我們SINE安全(quán)在(zài)對該套系統進行漏洞測試的時候,發現存在(zài)REC漏洞.主要是XSRF漏洞,下面我們來詳細的分析漏洞,以及如何利用,漏洞修複等三個(gè)方面進行全(quán)面的記錄.我們SINE安全(quán)技術對Laravel的版本進行升級發現,較新的5.6.30版本已經對該rce漏洞進行了修複,在(zài)我們對代碼的比對中看出,對cookies的解密并解析操作(zuò)進行了判斷,多寫了static::serialized() 值,同樣的在(zài)X-XSRF-TOKEN裏也加入了這個(gè)值.如果您對代碼不是太(tài)懂的話,也可以找專業的網站安全(quán)公司來進行修複,國内SINESAFE,綠盟,啓明星辰,都是比較不錯的,針對于Laravel的網站漏洞檢測與(yǔ)測試就到此,也希望通過這次的分享,讓更多的人了解網站漏洞,漏洞的産生原因,以及該如何修複漏洞,網站安全(quán)了,我們才能放開手腳去開拓市 場,做好營銷.該Laravel REC漏洞的利用是需要條件的,必須滿足APP_KEY洩露的情況下才能成功(gōng)的利用與(yǔ)觸發,我們SINE安全(quán)技術在(zài)整體的漏洞測試與(yǔ)複現過程裏,共發現2個(gè)地方可以導緻網站漏洞的發生,第一個(gè)是Post數據包裏的cookies字段,再一個(gè)是HTTP header字段可以插入惡意的共計代碼到網站後端中去.