laravel Remote code execute on debug mode复现

composer 是 PHP 用来管理依赖（dependency）关系的工具。你可以在自己的项目中声明所依赖的外部工具库（libraries），Composer 会帮你安装这些依赖的库文件。类似于 go 的 go mod。...

2020年11月底, 在为我们的一个客户进行安全审计时, 我们发现了一个基于Laravel的网站. 虽然这个网站的安全状态很好, 但我们注意到它是在调试模式下运行的, 因此显示了大量的错误信息, 包括堆栈痕迹:...

由于发送邮件、短信之类的操作通常涉及到第三方服务的调用，所以也是个响应时间不确定的耗时操作，如果放到处理用户请求进程中同步处理，需要等待很长时间才能获取响应结果，为了提升用户体验，可以让这些操作通过消息队列异步...

本来准备给 Redis 实战入门篇做个收尾了，不过想起来 Laravel 进阶组件部分还剩下文件存储、邮件和通知这几个功能没有介绍，不如索性一并介绍下，因为它们并不是和 Redis 风马牛不相及，我们可以将这些耗时操作通过消息队列...

在上一篇教程中，我们基于 Eloquent 模型实现了对数据表记录的增删改查操作，今天我们在此基础上介绍两个 Eloquent 模型提供的高级功能 —— 批量赋值和软删除。...

通过前面几篇教程的预热，我们已经连接上数据库，创建好了数据表，填充好了数据，接下来，就是在 Laravel 应用中实现对数据库的增删改查了。

所谓限流器，指的是限制访问指定服务/路由的流量，通俗点说，就是限制单位时间内访问指定服务/路由的次数（频率），从系统架构角度看，通过限流器可以有效避免短时间内的异常高并发请求导致系统负载过高，从而达到保护系统的目的，另外...

我们在前两篇教程中分别介绍了如何连接到数据库，以及如何通过迁移文件定义表结构来创建或修改数据表，接下来，是时候在数据表里添加内容了。在 Laravel 框架中，如果想要快速填充测试数据到数据库，可以借助框架提供的填充器...

直接把上述请求body中的viewFile参数的值替换为一个恶意ftp地址就可以实现rce