Laravel : quand Ziggy expose la carte complète de votre application
> En bref : L'exposition des routes Ziggy et de la configuration Laravel donne aux attaquants une cartographie complète de votre app.
Ziggy : l'outil pratique devenu faille
Ziggy génère un objet JavaScript contenant TOUTES les routes de votre application Laravel. Pratique pour les développeurs frontend. Problème : sur les pages non authentifiées, cet objet expose l'intégralité de votre architecture.
Ce qu'un attaquant apprend
Combiné avec d'autres failles
Sur un audit récent, l'exposition Ziggy + un endpoint ACF non authentifié a révélé 244 routes internes et des clés API stockées dans les champs de configuration WordPress.
Comment corriger
only ou except)/api n'est pas listé dans les routes publiquesÀ retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
WordPress REST API : les 7 endpoints dangereux activés par défaut
Votre WordPress expose des données sensibles via la REST API sans que vous le sachiez. Voici les 7 endpoints à vérifier immédiatement.
Réinitialisation de mot de passe : les 7 erreurs qui ouvrent vos comptes
Le flow « mot de passe oublié » est la porte d'entrée préférée des attaquants sur les SaaS : tokens prévisibles, liens sans expiration, host header injection. Les 7 erreurs que nous trouvons le plus souvent en audit.
PHP et Laravel Ignition : pourquoi CVE-2021-3129 a tant marque l ecosysteme
CVE-2021-3129 a montre qu un composant de debug Laravel mal expose pouvait ouvrir a une execution de code a distance. Voici pourquoi cette faille reste marquante pour l ecosysteme PHP.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.