Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro noviiro
November 05, 2023
0
270

 LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro

noviiro

November 05, 2023
Tweet

More Decks by noviiro

See All by noviiro
My GAS Tips
Avatar for noviiro noviiro
1
300
LWWSxGASxSlack
Avatar for noviiro noviiro
0
290
FileMaker Data API
Avatar for noviiro noviiro
0
180
Tried to set up Mastodon instance for myself. ( ja )
Avatar for noviiro noviiro
0
150
Several TIPS for making a single board computer a web server (ja)
Avatar for noviiro noviiro
0
220
PINE64で遊んでみた
Avatar for noviiro noviiro
0
390

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
730
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
657
60k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.9k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k

Transcript

  1. LaravelのCVE-2021-3129の 脆弱性について Gunma.web #51 ‘23 11/04 @noviiro

  2. CVE-2021-3129の脆弱性について • https://nvd.nist.gov/vuln/detail/CVE-2021-3129 • Laravel 8.4.2(Ignition 2.5.1)の古い構成 • APP_DEBUG=trueの状態で有効 •

    上記脆弱性により、第三者にHPの公開ディレクトリにデバッグモードでアクセス され、curlを使ったファイルの設置と実行ができる状態になる。

  3. APP_DEBUG=true について • Laravelでは.envファイルの設定が優先 ◦ /config/app.phpなどでfalseにしていても、そもそもの .envファイルでtrueになっていればそれが 優先される。 再現環境

  4. おさらい • 使用しているフレームワークの脆弱性情報は常にキャッチアップする ◦ JVNやNVDなど ◦ https://nvd.nist.gov/developers/vulnerabilities APIで叩ける。 ◦ VulsやFuture

    Vulsなど、脆弱性スキャナを webサーバーに設置して定期的にスキャンするのも 手。(Vulsに関してはIPAも紹介している)

  5. おさらい 2 • WAFの選定は重要。ゼロデイ攻撃でもふるまい検知等でWAFで防げるように選 定・構築をする(IP直のアクセスも防げる契約を選ぼう)