Six_Cool's 작업창고

라라벨 버전 : 5.6 라라벨 환경설정(.env)에서 'APP_DEBUG=true' 로 되어있을 때 에러가 발생하면 아래 이미지 처럼 디버그페이지에 환경설정 정보가 모두 노출된다. 이런 취약점을 이용해서 메일발송용 패스워드를 탈취해 불법메일을 대량 발송하는 해킹프로그램도 존재한다. 환경설정에서 디버그모드를 'false'로 처리해두면 상관이 없지만, 개발하다보면 디버그모드를 켜놓고 그대로 두거나 까먹는 경우도 있으니 아예 디버그페이지에 중요 정보는 가릴 수 있는 방법은 없는지 찾다가 간단한 방법을 찾았다. 위 디버그페이지를 보면 몇몇 정보는 "******************" 이런식으로 숨김처리되어있다. 방법은 간단. /config/app.php 리턴 배열 안에 'debug_blacklist'라는 배열을..