Pentest

Dependencies

Файл composer.json хранит зависимости для Laravel-приложения.

Файл package.json хранит зависимости для фронта.

Middleware

Документация: https://laravel.com/docs/10.x/middleware

В Laravel есть возможность заводить middleware как для всех запросов (через определение App\Http\Kernel, в Kernel есть предустановленные группы мидлварей — web и api) или в роутах к отдельным путям и группам:

Route::middleware(['another_middleware'])->group(function() {
   Route::get('test/method', 'App\TestController@someApiMethod')->name('test.method')->middleware(['SomeMiddleware'])
});

Свои мидлвари кладут в App\Http\Middleware.

Найти роуты

Route::get(
Route::post(

По умолчанию, они лежат тут:

• routes/api.php

• routes/web.php

Контроллеры

Контроллеры ищем от роутов, по умолчанию они тут — App\Http\Controllers.

CVEs

CVE-2021-3129: Laravel <= v8.4.2 debug mode RCE (via plugin for Logging Ignition?) https://www.ambionics.io/blog/laravel-debug-rce

exploit: https://github.com/ambionics/laravel-exploits