Audit Laravel

Votre stack Laravel.
Pas uniquement votre code métier.

Laravel fournit de très bonnes bases. Les expositions les plus coûteuses viennent souvent de la configuration, des outils de debug, des routes révélées côté front, des policies incomplètes et des intégrations autour de l'application. Cet audit vérifie ce qui fuit et ce qui contourne vraiment vos garde-fous.

Ce que nous vérifions

Debug, erreurs et surfaces techniques

APP_DEBUG, pages d'erreur bavardes, composants de support, traces techniques, outils d'exploitation ou de supervision exposés.

Routes, Ziggy et authentification

Cartographie des routes révélées côté front, guards, policies, middleware et routes admin réellement accessibles.

Fichiers, URLs signées et stockage

Téléchargements, téléversements, documents sensibles, URLs signées, stockage local ou cloud et logique de partage.

Queues, webhooks et automatisations

Traitements techniques qui modifient des données ou déclenchent des actions critiques sans contrôles assez stricts.

Ce que nous trouvons souvent

Debug ou support laissé trop visible

Un outil pensé pour les développeurs devient une source d'informations, voire un point d'entrée, bien trop généreux en production.

Routes exposées côté front

Ziggy, scripts de support ou bundles révèlent la carte complète de l'application et accélèrent la reconnaissance côté attaquant.

Policies ou middleware incomplets

Le login existe, mais l'autorisation fine entre utilisateurs, rôles ou tenants n'est pas appliquée partout.

URLs signées ou fichiers mal cadrés

Téléchargements privés, exports ou documents consultables plus largement que prévu.

Idéal pour

  • Applications Laravel, Inertia ou Livewire avec back-office et logique métier dense
  • Produits qui gèrent rôles, espaces clients, documents, exports ou workflows internes
  • Stacks qui ont grandi vite et accumulé debug, scripts internes et intégrations autour du framework
  • Équipes qui veulent vérifier l'autorisation réelle, pas seulement la qualité du framework choisi

Lectures et pages associées

Laravel Ignition et CVE-2021-3129

Le cas le plus instructif pour comprendre le risque debug côté Laravel.

Quand Ziggy expose votre application

Comment une carte de routes côté front accélère la reconnaissance technique.

Audit API et webhooks

À combiner si votre application Laravel expose beaucoup de routes métier ou de callbacks.

Audit Complet

Le bon format si vous voulez couvrir l'ensemble de la surface Laravel et ses intégrations.

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit