Retour au blog
Laraveltechniquevulnérabilités

Laravel : quand Ziggy expose la carte complète de votre application

Publié le 2026-03-105 min de lectureCleanIssue

> En bref : L'exposition des routes Ziggy et de la configuration Laravel donne aux attaquants une cartographie complète de votre app.

Ziggy : l'outil pratique devenu faille

Ziggy génère un objet JavaScript contenant TOUTES les routes de votre application Laravel. Pratique pour les développeurs frontend. Problème : sur les pages non authentifiées, cet objet expose l'intégralité de votre architecture.

Ce qu'un attaquant apprend

  • Toutes les routes admin et API
  • Les paramètres attendus par chaque endpoint
  • La structure de vos contrôleurs et resources
  • Les routes de debug et maintenance
  • Combiné avec d'autres failles

    Sur un audit récent, l'exposition Ziggy + un endpoint ACF non authentifié a révélé 244 routes internes et des clés API stockées dans les champs de configuration WordPress.

    Comment corriger

  • Filtrez les routes exposées par Ziggy (option only ou except)
  • Ne chargez Ziggy que sur les pages authentifiées
  • Désactivez Debugbar en production
  • Vérifiez que /api n'est pas listé dans les routes publiques
  • À retenir

  • Identifiez et testez vos surfaces d'attaque exposées avant qu'un tiers ne le fasse.
  • Les contrôles de sécurité côté client (frontend) ne remplacent jamais une validation côté serveur.
  • Un audit régulier est plus efficace qu'un audit ponctuel — les failles apparaissent à chaque déploiement.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit