对Cachet开源代码的一次安全审计

       个了无生趣的星期日夜里,我还在知乎app游逛,发觉有个匿名用户接连向我提起了2个疑问:原本并不是特想回应这两个疑问,一个是觉得较为根基,二是目前大多数人都卷java代码去了,关心PHP的实际上很少。可是我查找了某些自个的星球,发觉我确实沒有讲过怎样调测PHP源代码,那样回应某些这个问题也是可以的。既然这样,我便打开自己较常用的PHPIDE其一PHPStorm(另一种是VSCode),看了看电脑硬盘里落尘土的PHP源代码,要不便是两年前的板本要不便是无法做演试的非开源系统。假如要新写篇实例教程,最好是或是上网上找一个新的cms模板做演试。因此我打开了Github,查找“PHP”关键词,点进了PHP这一问题。PHP问题下有几种开源系统,一个是某些PHP框架和库,排在前面的主要是Laravel、symfony、Yii、guzzle、PHPMailer、composer等;二是cms模板和企业网站运用,排在前面的有matomo、nextcloud、lynn、Cachet等;三是某些md文件和培训 项目,例如awesome-php、DesignPatternsPHP等。

outputo-20210911-141230-583-ynyy.png

做演试自然选择学说拆箱既用的第二种,因此我挑了一种功能较常用且简便的Cachet。

当日夜里我自个搭建、调测、运转起了Cachet这一cms模板,并写了一篇文章简便的实例教程发在星球里:原本这个故事到此就结束了,可是躁动不安的我那时候就在想,即然搭都搭起来了,那还不如就对其做一次安全审计吧。


Cachet是一种根据Laravel架构开发设计的情况网页页面(Statuspage)系统软件。Statuspage是云服务平台流行后渐渐地崛起的一种系统软件,功能是向外部展现当今自个每个服务是不是在正常运转。海外许多大中型网络平台都是有Statuspage,最有名的有Github、Twitter、Facebook、AmazonAWS等。Statuspage中占有带领影响力的是Statuspage.io,归属于Atlassian。但终究这是一个花钱的系统软件,Cachet归功于自个开源系统的优点,也是有许多粉丝,在Github上面有12k多关心。

Cachet全新的稳定板本是2.3.18,根据Laravel5.2开发设计,我将其拉下去安装好后逐渐开始安全审计。


分享: