tag
設定失誤
該標籤下有 3 篇文章
2026-06-11
是否把金鑰檔案遺忘在了公開目錄裡:webroot 盤點
放進 webroot(公開目錄)的檔案,只要存取 URL 任何人都能取走。權杖或驗證憑證的 JSON、.env、備份一旦遺忘在那裡,立刻造成實害。再加上若源自共用範本,同一個洞會橫向擴散到所有站點。對策=公開目錄只放可以公開的東西,金鑰放在 webroot 之外+權限 600,並且盤點自己的伺服器、一處發現就全機排查。
2026-06-08
X-Forwarded-For(XFF)偽造是什麼 — 信任代理設定的陷阱與防禦
XFF 是用戶端可以偽造的標頭。在偽造 XFF 裡夾帶注入探測的無差別掃描是典型手法,而『信任全部代理(萬用字元)』很危險。對症處理=對 IP 標頭做淨化,根本=把信任代理收斂到合適範圍。即便沒有實際損害,也有該修復的設定。
2026-06-07
Laravel 應用程式的 .env 被暴露給全世界——共享虛擬主機上最常見的部署錯誤
根本原因是『把應用程式本體放到了 public_html 目錄正下方』。本該只暴露 public/。按緊急處置→金鑰輪換→結構改造三個階段修復,並用機制防止再次發生。