Retour au blog
Laraveltechniquevulnérabilités

Laravel : quand Ziggy expose la carte complète de votre application

Publié le 2026-03-105 min de lectureFlorian

Ziggy : l'outil pratique devenu faille

Ziggy génère un objet JavaScript contenant TOUTES les routes de votre application Laravel. Pratique pour les développeurs frontend. Problème : sur les pages non authentifiées, cet objet expose l'intégralité de votre architecture.

Ce qu'un attaquant apprend

  • Toutes les routes admin et API
  • Les paramètres attendus par chaque endpoint
  • La structure de vos contrôleurs et resources
  • Les routes de debug et maintenance

    • Combiné avec d'autres failles

    Sur un audit récent, l'exposition Ziggy + un endpoint ACF non authentifié a révélé 244 routes internes et des clés API stockées dans les champs de configuration WordPress.

    Comment corriger

  • Filtrez les routes exposées par Ziggy (option only ou except)
  • Ne chargez Ziggy que sur les pages authentifiées
  • Désactivez Debugbar en production
  • Vérifiez que /api n'est pas listé dans les routes publiques

    • Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Supabasetechnique

    Supabase RLS : 5 erreurs de configuration que nous trouvons chaque semaine

    Les politiques Row Level Security de Supabase sont la première ligne de défense. Voici les 5 erreurs les plus fréquentes.

    2026-03-28 · 7 min de lecture
    WordPresstechnique

    WordPress REST API : les 7 endpoints dangereux activés par défaut

    Votre WordPress expose des données sensibles via la REST API sans que vous le sachiez. Voici les 7 endpoints à vérifier immédiatement.

    2026-04-03 · 6 min de lecture
    Firebasetechnique

    Firebase Firestore : pourquoi 'allow read, write: if request.auth != null' n'est pas une sécurité

    La règle d'authentification basique de Firestore ne protège pas vos données. Voici pourquoi et comment corriger.

    2026-03-25 · 6 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-03-10

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Suivi Récurrent

    Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit