Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
LaravelのCVE-2021-3129の脆弱性について.pdf
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
noviiro
November 05, 2023
0
310
LaravelのCVE-2021-3129の脆弱性について.pdf
noviiro
November 05, 2023
Tweet
Share
More Decks by noviiro
See All by noviiro
My GAS Tips
noviiro
1
310
LWWSxGASxSlack
noviiro
0
310
FileMaker Data API
noviiro
0
190
Tried to set up Mastodon instance for myself. ( ja )
noviiro
0
180
Several TIPS for making a single board computer a web server (ja)
noviiro
0
230
PINE64で遊んでみた
noviiro
0
410
Featured
See All Featured
Building an army of robots
kneath
306
46k
RailsConf 2023
tenderlove
30
1.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Side Projects
sachag
455
43k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
330
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
160
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
220
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.3k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
320
Transcript
LaravelのCVE-2021-3129の 脆弱性について Gunma.web #51 ‘23 11/04 @noviiro
CVE-2021-3129の脆弱性について • https://nvd.nist.gov/vuln/detail/CVE-2021-3129 • Laravel 8.4.2(Ignition 2.5.1)の古い構成 • APP_DEBUG=trueの状態で有効 •
上記脆弱性により、第三者にHPの公開ディレクトリにデバッグモードでアクセス され、curlを使ったファイルの設置と実行ができる状態になる。
APP_DEBUG=true について • Laravelでは.envファイルの設定が優先 ◦ /config/app.phpなどでfalseにしていても、そもそもの .envファイルでtrueになっていればそれが 優先される。 再現環境
おさらい • 使用しているフレームワークの脆弱性情報は常にキャッチアップする ◦ JVNやNVDなど ◦ https://nvd.nist.gov/developers/vulnerabilities APIで叩ける。 ◦ VulsやFuture
Vulsなど、脆弱性スキャナを webサーバーに設置して定期的にスキャンするのも 手。(Vulsに関してはIPAも紹介している)
おさらい 2 • WAFの選定は重要。ゼロデイ攻撃でもふるまい検知等でWAFで防げるように選 定・構築をする(IP直のアクセスも防げる契約を選ぼう)
Your Podcast. Everywhere. Effortlessly.
noviiro
kneath
tenderlove
denniskardys
addyosmani
sachag
mfonobong
pwiseman
davetheseo
signer
aleyda
keavy
codingconduct
