Knowledge Base

Публичные .env, backup и config-файлы

Почему риск критичный

Категория: Web App Security · Риск: critical

Почему риск критичный

Один публичный `.env` может содержать доступы к базе данных, API-токены, SMTP-пароли и secret keys. После обнаружения такого файла недостаточно удалить его: нужно считать секреты скомпрометированными.

Безопасная проверка

Проверяйте собственный web root и собственные логи. Для внешнего сканера достаточно фиксировать риск по статус-коду и размеру ответа без сохранения содержимого потенциально секретного файла.