入行四个月了见到了很多没见过的漏洞，学习一下

LARAVEL敏感信息泄漏

高危

漏洞描述：在 laravel 框架的根目录下存在配置文件，该文件存储了 debug 的配置、mysql账号密码、邮箱账号密码、redis 密码等信息。如果访问控制不当会导致文件泄露敏感信息。

解决方案：关闭 laravel 配置文件中的调试功能，在 .env 文件中找到 APP_DEBUG=true，将 true 改为 false。

Laravel是一个框架，可以算得上是一个cms

https://fp.shuziguanxing.com/#/这个是我比较喜欢的在线指纹判断网址，或者用wapppalyzer插件也行

我个人理解就是报错页面会泄露信息

但是怎么触发报错，我基本上都是阴差阳错下触发的，有大佬能告诉我就好了，我查的资料也不是很全，我看有的人是网页后面输了个login，比如这个大佬，

还有就是拼接一些接口，他就出现这个报错页面，我的理解基本上是sql查询的QueryException方法报错导致的，但是我就不理解这个目录加一个login咋就报错了，我自己的是拼接api里有？id=1这类的参数，我估计是数据库查询导致的报错。以上均是我猜测，要是有大佬解惑请务必给我讲解。

简单看一下这个报错页面长啥样，空间测绘引擎搜索title=”Whoops!There was an error”，（这个就是报错页面的title）

我们随便挑一个看看，

能找到的信息，全看这个站有存啥，基本上我看比较关键的就是各种的PASSWORD，还需要注意的，就是ALIYUN_ACCESSKEYSECRET和ALIYUN_ACCESSKEYID，这俩key直接拿到可以直接管理这台主机。

请参考：https://www.bilibili.com/video/av798069352/?vd_source=1c406bff14850bca9093e75216ad75b4

https://mp.weixin.qq.com/s/dIA96UIIDDG_ODh62AxRkg