Zeric Ceramica 网站安全审计报告

善意声明

作为一名怀着赤诚之心的安全研究员,我谨在此郑重声明:本次安全审计的唯一目的是帮助改进系统安全性,为保护用户数据安全尽一份力。报告中所有敏感信息均已进行脱敏处理,以防被不法分子利用。我始终秉持"善意披露、负责任报告"的原则,希望通过专业的漏洞发现和及时报告,协助开发团队尽快修复安全隐患。在此过程中,我严格遵守相关法律法规,绝无任何破坏或恶意利用的企图。

衷心期待通过白帽黑客与开发团队的良性互动,共同为企业的信息安全加固,为广大用户筑起更坚实的数据保护屏障。

严重性等级: HIGH (CVSS 7.5)

技术发现

服务器信息

  • 服务器类型: LiteSpeed
  • 服务器位置: 立陶宛 (LITHUANIA)
  • IP地址: 88.222.211.117
  • 托管平台: Hostinger

子域名分析

子域名 用途
webdisk.zericceramica.com Web磁盘服务
webmail.zericceramica.com 邮件服务
cpanel.zericceramica.com 控制面板
mail.zericceramica.com 邮件服务

技术栈分析

前端技术

  • HTML5
  • Bootstrap
  • jQuery

后端技术

  • PHP 8.2.27
  • Laravel Framework
  • LiteSpeed Web Server

安全头部分析

发现的问题

  • 缺少 X-Frame-Options 头部
  • 缺少 X-XSS-Protection 头部
  • Content-Security-Policy 配置不完整
  • 缺少 HSTS 配置

Cookie 安全性

Cookie名称 安全属性 问题
XSRF-TOKEN Secure, SameSite=Lax 缺少 HttpOnly
laravel_session Secure, HttpOnly, SameSite=Lax 配置正确

敏感信息泄露:.env 文件

严重程度:危急

应用程序的 .env 文件可被公开访问,导致数据库凭证和应用程序密钥等敏感配置数据泄露。

Credential Type Value Risk Level
Database Name u31████████_zeric High
Database Username u31████████_zeric High
Database Password ^4Y██████ Critical
APP_KEY bas████████████████████████████ Critical
Debug Mode tru Medium
Redis Host 127███████ Medium
Redis Port 637 Medium
Mail Configuration mai████████ Medium
Environment loc██ Medium
Application URL htt█████████████████████ Low

漏洞证据截图

证据 1: 环境变量泄露
环境变量泄露证据截图
证据 2: 服务器配置问题
服务器配置问题证据截图
证据 3: 安全头部缺失
安全头部缺失证据截图
证据 4: 系统信息泄露
系统信息泄露证据截图

安全影响

  • 数据库完全访问权限被泄露
  • 数据可能被窃取和篡改
  • 由于 APP_KEY 泄露可能导致会话劫持
  • 调试模式开启可能泄露应用程序逻辑
  • 应用程序后端存在未授权访问风险

需要立即采取的措施

  • 立即更改所有数据库凭证
  • 生成新的 APP_KEY 并使所有现有会话失效
  • 在生产环境中禁用调试模式
  • 实施适当的文件访问控制
  • 审计所有数据库访问日志以检查潜在的未授权访问
  • 检查并更新服务器配置以防止 .env 文件泄露

安全建议

服务器安全加固

  • 升级 LiteSpeed Web Server 到最新版本
  • 配置适当的安全响应头
  • 实施 HSTS 策略
  • 加强子域名访问控制

应用程序安全

  • 更新 Laravel 框架到最新版本
  • 完善 CSP 配置
  • 加强 Cookie 安全性设置
  • 实施更严格的 XSS 防护措施

基础设施安全

  • 限制不必要的子域名访问
  • 加强邮件服务器安全配置
  • 实施 WAF 防护
  • 定期进行安全扫描和监控

联系方式

安全研究员信息

姓名: 钟智强

职位: 高级安全研究员 | 高级全栈开发工程师 | 计算机视觉专家

电子邮件: johnmelodymel@qq.com

微信: ctkqiang