Que vous soyez un développeur web chevronné ou un pentester expérimenté ayant audité de nombreuses applications Laravel, vous vous êtes sûrement déjà interrogé sur l'utilité réelle de l'APP_KEY présente dans le fichier de configuration .env. Plongez dans cet article pour découvrir les risques liés à la fuite de ce secret trop souvent méconnu.
Laravel est un framework web open source basé sur PHP, conçu pour développer des applications web de manière structurée. Il offre des fonctionnalités telles que la gestion de base de données, l'authentification et l’utilisation d’un modèle de conception classique, facilitant ainsi grandement le développement en équipe d’applications complexes.
Grâce à sa polyvalence et sa communauté très active partout dans le monde, Laravel s’est imposé comme l’un des frameworks PHP les plus utilisés. Il compte actuellement plus d’un million d’instances publiquement exposées sur Internet [BUILTWITH-LARAVEL].
Cependant, certains designs en place sur des composants internes de développement de Laravel comportent des risques, notamment sur l’utilisation de la classe Encrypter gérant le chiffrement et déchiffrement en se basant sur le secret APP_KEY de l’application.
Bien que des vulnérabilités critiques sur ce…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première