Xcatze isimli bir tool ile (laravel 11 dahil) laravel ile geliştirilmiş bir siteye ait .env dosya bilgileri ele geçirilebiliyor.

Eski tarihli bir tool olmasına rağmen sürekli güncelleme alarak günümüz itibariyle halen çalışmaktadır. Laravel geliştiricilerin dikkat etmesini tavsiye ederim.


Önlem için .env dosyanızda APP_DEBUG değerinin false olduğundan emin olun ve htaccess dosyanıza aşağıdaki kodu ekleyin:

<FilesMatch "^\.env$">
    Order allow,deny    Deny from all
</FilesMatch>
Kaynak