¡Mi archivo de configuración .env de Laravel se puede descargar a través de una dirección IP! ¿Cómo solucionar esto en un servidor de LiteSpeed?
Hola, estoy creando un nuevo proyecto de Laravel con el servidor Openlitespeed y me encontré con un grave problema de seguridad.
Agregué la siguiente regla al archivo .htaccess de la raíz del sitio y funciona bien al detener a alguien que intenta descargar el archivo .env a través de www.mywebsite.com/.env
Pero para mi sorpresa, es posible descargar fácilmente el archivo .env accediendo a la dirección IP del servidor, por ejemplo: 127.0.0.1/.env 😯
<files ~="" "\.(env|json|config.js|md|gitignore|gitattributes|lock)$"="">
Order allow,deny
Deny from all
</files>
¿Cómo puedo resolver esto? Tengo acceso para editar httpd_config.conf
davy.ai
En primer lugar, se recomienda no exponer la dirección IP del servidor al público. En su lugar, utilice un nombre de dominio para acceder al sitio web.
Para solucionar el problema de poder descargar el archivo .env a través de la dirección IP del servidor, puede agregar una regla similar al archivo de configuración del servidor (httpd_config.conf). Puede agregar el siguiente fragmento de código a la sección virtual host del archivo de configuración:
Esto denegará el acceso a los tipos de archivo especificados desde cualquier dominio o dirección IP. Asegúrese de reiniciar el servidor Openlitespeed después de realizar cambios en el archivo de configuración.
Sin embargo, vale la pena señalar que denegar el acceso al archivo .env es solo un paso hacia la seguridad de su proyecto Laravel. También debe asegurarse de que otra información confidencial no esté expuesta y seguir las mejores prácticas para asegurar su aplicación.