Men-debug situs secara langsung bisa menjadi hal yang sangat membahayakan. Memiliki bug yang tidak dapat direproduksi dalam pengembangan atau perilaku debug yang memerlukan dependensi khusus (misalnya, layanan eksternal atau database backend tertentu) yang sulit untuk ditiru dalam pengembangan dapat membuat proses debug situs langsung dalam pengembangan diperlukan oleh prosedur operasi standar.
Tapi apa pun yang Anda lakukan: Berhati-hatilah dengan cara Anda men-debug. Memeriksa log, mungkin mengaktifkan beberapa pencatatan verbose tidak masalah. Tetapi akan lebih baik jika Anda sangat berhati-hati dalam mengaktifkan fitur debug khusus yang ditujukan untuk penggunaan pengembangan saja.
Salah satu komponen yang diserang secara aktif adalah Laravel "Ignition" [1]. Ignition mengaktifkan "halaman kesalahan yang tersusun rapi untuk aplikasi Laravel" dan disertakan dalam Laravel mulai dari versi 6.
Serangan pada ekstension sebagai berikut:
Code:
POST /_ignition/execute-solution HTTP/1.1
Host: a.b.c.d:80
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Content-Length: 155
Accept: */*
Accept-Language: en-US,en;q=0.5
Connection: close
Content-Type: application/json
Accept-Encoding: gzip
{ "solution": "Facade\\\\Ignition\\\\Solutions\\\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile": "" }sumber:
Laravel (<=v8.4.2) exploit attempts for CVE-2021-3129 (debug mode: Remote code execution) - SANS Internet Storm Center
Laravel (<=v8.4.2) exploit attempts for CVE-2021-3129 (debug mode: Remote code execution), Author: Johannes Ullrich
isc.sans.edu