شبکه اجتماعی آزمایشگاه امنیت وایت لب
php artisan key:generate کلید APP_KEY را برای هر پروژه بازتولید کنند و از قرار دادن آن در مخازن عمومی مانند GitHub خودداری کنند.
✳️ مقالهای از Synacktiv منتشر شده که به بررسی آسیبپذیریهای مربوط به نشت APP_KEY در فریمورک لاراول پرداخته است. این کلید برای رمزنگاری و رمزگشایی دادهها در لاراول استفاده میشود و افشای آن میتواند به اجرای کد از راه دور منجر شود.
⚠️ محققان با استفاده از ابزارهایی مانند laravel-crypto-killer و nounours، بیش از ۶۰۰ هزار نمونه رمزنگاریشده را از وبسایتهای عمومی با کلید XSRF-TOKEN تحلیل کردند و دریافتند که حدود ۳.۵۶٪ از APP_KEYها در سال ۲۰۲۵ قابل بازیابی هستند.
🔍 دادهها نشان میدهند که استفاده از کلیدهای پیشفرض یا مشترک در پروژههای تجاری مانند UltimatePOS و WASender، دلیل اصلی این مشکل است.
✅ توصیه: توسعهدهندگان باید با اجرای دستور
