mala configuración
3 artículos con esta etiqueta
¿Dejaste un archivo de secretos en un directorio público? Audita tu webroot
Cualquier cosa en tu webroot puede descargarse por URL por cualquiera. Un JSON de token/credenciales olvidado, un .env o una copia de seguridad significa exposición instantánea — y si vino de una plantilla compartida, todos los sitios tienen el mismo agujero. Solución: coloca en el directorio público solo cosas compartibles públicamente, mantén los secretos fuera del webroot con permisos 600, y una vez que encuentres uno, audita cada sitio y servidor.
Qué es la suplantación de X-Forwarded-For (XFF) — la trampa de la configuración de proxy de confianza
XFF es un encabezado falsificable por el cliente. Un escáner ciego esconde sondeos de inyección en un XFF suplantado; 'confiar en todos los proxies (comodín)' lo deja pasar. Parche = sanear el encabezado de IP en el límite; solución raíz = confiar en los proxies correctos (o en ninguno). El impacto cero aun así dejó un ajuste por arreglar.
El .env de apps Laravel era legible por todo el mundo — el error más común del hosting compartido
La causa: toda la app estaba bajo la raíz web; solo public/ debería ser visible. Corrige en tres pasos — primeros auxilios con .htaccess, rotar claves, reestructurar — y luego prevenlo con proceso.