ошибка конфигурации
3 статей с этим тегом
Оставили файл с секретом в публичной директории? Проверьте свой webroot
Всё, что в вашем webroot, любой может скачать по URL. Забытый JSON с токеном/учётными данными, .env или резервная копия означают мгновенную утечку — и если он пришёл из общего шаблона, дыра одна и та же у каждого сайта. Исправление: кладите в публичную директорию только то, чем можно публично делиться, держите секреты вне webroot с правами 600, а найдя один — проверьте каждый сайт и хост.
Что такое подделка X-Forwarded-For (XFF) — ловушка конфигурации доверенного прокси
XFF — заголовок, подделываемый клиентом. Слепой сканер прячет пробы инъекций в подделанном XFF; «доверять всем прокси (wildcard)» пропускает это. Патч = санировать IP-заголовок на границе; корневое исправление = доверять правильным прокси (или никаким). Нулевое воздействие всё равно оставило настройку для исправления.
У Laravel-приложений .env был доступен всему миру — самая частая ошибка шаред-хостинга
Причина: всё приложение сидело под веб-корнем; видимым должен быть только public/. Исправление в три шага — первая помощь через .htaccess, смена ключей, реструктуризация — затем профилактика процессом.