ID:0
Bitnami - это библиотека популярных серверных приложений и сред разработки, которая используется для быстрого развертывания готовой среды. Часто можно увидеть, как разработчики ставят docker именно из этой библиотеки.
Если у вас где-то в docker-compose используется bitnami/laravel:latest, по умолчанию APP_KEY в нем будет браться из образа докера, который несмотря на то, что часто меняется с каждой версией контейнера - все еще предсказуем. Ведь достаточно собрать из образов ключи за последние N времени и попробовать раскодировать cookie с помощью ключа.
Помимо прочего, переменные окружения передаются на PHP, поэтому наличие функции phpinfo ведет к раскрытию информации ключей AWS, данных к СУБД, почты и конечно же к APP_KEY.
Посоны, есть один вопрос. Не по теме поста. А как вы боретесь с мошенниками? Или наоборот? Суть такова, что, во-первых, один поц, несколько месяцев назад, используя глупую дыру в безопасности, по всей видимости слямзил базу пользователей. И теперь отслеживает их заказы (заказы покупателей к давно существующим старым магазинам на площадке) и связывается с ними через третьи каналы (вотсапы, вайберы по номеру) - и предлагает оплатить заказ на номер своей карты, ну как обычно. Кто-то ведётся. А кто-то пишет нам.
Как откучерявить этого поца как следует?
