configuração incorreta
3 artigos com esta tag
Você deixou um arquivo de segredo em um diretório público? Audite seu webroot
Qualquer coisa no seu webroot pode ser baixada pela URL por qualquer um. Um JSON de token/credenciais esquecido, um .env ou um backup significam exposição instantânea — e se veio de um template compartilhado, todo site tem o mesmo buraco. Correção: coloque no diretório público só o que pode ser compartilhado, mantenha segredos fora do webroot com permissão 600 e, ao achar um, audite todos os sites e hosts.
O que é a falsificação de X-Forwarded-For (XFF) — a armadilha da configuração de proxy confiável
XFF é um cabeçalho forjável pelo cliente. Um scanner cego esconde sondagens de injeção em um XFF falsificado; 'confiar em todos os proxies (curinga)' o deixa passar. Patch = higienizar o cabeçalho de IP na fronteira; correção raiz = confiar nos proxies certos (ou em nenhum). Impacto zero ainda deixou uma configuração a corrigir.
O .env de apps Laravel era legível pelo mundo inteiro — o erro mais comum de hospedagem compartilhada
A causa: o app inteiro ficava sob a raiz web; só o public/ deveria estar visível. Corrija em três passos — primeiros socorros com .htaccess, rotacione chaves, reestruture — depois previna com processo.