Pentest

Dependencies

Π€Π°ΠΉΠ» composer.json Ρ…Ρ€Π°Π½ΠΈΡ‚ зависимости для Laravel-прилоТСния.

Π€Π°ΠΉΠ» package.json Ρ…Ρ€Π°Π½ΠΈΡ‚ зависимости для Ρ„Ρ€ΠΎΠ½Ρ‚Π°.

Middleware

ДокумСнтация: https://laravel.com/docs/10.x/middleware

Π’ Laravel Π΅ΡΡ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π·Π°Π²ΠΎΠ΄ΠΈΡ‚ΡŒ middleware ΠΊΠ°ΠΊ для всСх запросов (Ρ‡Π΅Ρ€Π΅Π· ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ App\Http\Kernel, Π² Kernel Π΅ΡΡ‚ΡŒ прСдустановлСнныС Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΌΠΈΠ΄Π»Π²Π°Ρ€Π΅ΠΉ β€” web ΠΈ api) ΠΈΠ»ΠΈ Π² Ρ€ΠΎΡƒΡ‚Π°Ρ… ΠΊ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹ΠΌ путям ΠΈ Π³Ρ€ΡƒΠΏΠΏΠ°ΠΌ:

Route::middleware(['another_middleware'])->group(function() {
   Route::get('test/method', 'App\TestController@someApiMethod')->name('test.method')->middleware(['SomeMiddleware'])
});

Π‘Π²ΠΎΠΈ ΠΌΠΈΠ΄Π»Π²Π°Ρ€ΠΈ ΠΊΠ»Π°Π΄ΡƒΡ‚ Π² App\Http\Middleware.

Найти Ρ€ΠΎΡƒΡ‚Ρ‹ 

Route::get(
Route::post(

По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ, ΠΎΠ½ΠΈ Π»Π΅ΠΆΠ°Ρ‚ Ρ‚ΡƒΡ‚:

  • routes/api.php

  • routes/web.php

ΠšΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Ρ‹

ΠšΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Ρ‹ ΠΈΡ‰Π΅ΠΌ ΠΎΡ‚ Ρ€ΠΎΡƒΡ‚ΠΎΠ², ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΎΠ½ΠΈ Ρ‚ΡƒΡ‚ β€” App\Http\Controllers.

CVEs

CVE-2021-3129: Laravel <= v8.4.2 debug mode RCE (via plugin for Logging Ignition?) https://www.ambionics.io/blog/laravel-debug-rce

exploit: https://github.com/ambionics/laravel-exploits

PreviousDockerNextZend

Last updated