أخطر ثغرات Laravel اللي بتقع فيها بدون ما تحس

تحذير مهم قبل ما نبدأ من فضلك أي ثغرة هتتعلمها هنا استخدمها في الحماية بس
مش علشان تخرب موقع أو تأذي حد
البوست ده توعوي، هدفه يحميك كمبرمج Laravel من أخطاء شفتها بعيني على مدار أكتر من 5 سنين شغل فعلي.

خطأ قاتل: نقل محتويات Public للـ Root​

من أكبر المصايب اللي بشوفها
إن حد ينقل كل ملفات public للـ root folder علشان يشغّل الموقع بسرعة.
غلط غلط وأكبر غلط
ليه؟ علشان كده أنت بتخلي كل ملفات المشروع Accessable.

يعني لو موقعك: example.com
أي حد يقدر يدخل على:

• example.com/.env
• example.com/storage/logs/laravel.log

وده معناه:

• باسوردات
• مفاتيح API
• أخطاء السيستم
• أسرار المشروع كلها مكشوفة

الصح
التزم بالـ Docs الرسمية: https://laravel.com/docs/9.x/deployment
وظبط htaccess أو Nginx بحيث يبدأ من index.php وهو في مكانه الطبيعي.
أداة ممتازة تكشفلك الملفات الحساسة المكشوفة: https://github.com/maurosoria/dirsearch

---

​

كارثة التسجيل بدون reCAPTCHA​

لو موقعك فيه Registration ومفيش reCAPTCHA يبقى أنت فاتح باب جهنم
أي حد يقدر يعمل Loop ويبعت آلاف الطلبات على /register.
مثال توضيحي

\Http::post('http://example.com/register',[
  '_token' => 'GENERATE_TOKEN',
  'name' => uniqid(),
  'email' => uniqid().'@gmail.com',
  'password' => '123456789aA$',
  'password_confirmation' => '123456789aA$'
]);

المشكلة مش بس Users فيك المشكلة إن:

• كل Register بيبعت Email
• كل Email له Limit
• ومع شوية Requests الإيميل يقف

وأيوه…
أي حد يقدر يعرف Email Provider بتاعك من DNS: https://tools.nafezly.com/dns-lookup

الحل استخدم reCAPTCHA و Rate Limiting ومتستخدمش المعرفة دي في أذى

---

​

فحص نوع الملف بالـ Extension = مصيبة​

إنك تفحص الملف بـ الامتداد بس يعني بتضحك على نفسك
ممكن أرفع ملف ملغوم واسميه: image.png
وهو مش صورة أصلاً
الحل افحص بالـ MimeType مش بالـ Extension

---

​

تخزين الملفات بنفس اسمها الأصلي​

لو بتخزن الملفات باسمها الأصلي أو حتى معدل عليه شوية يبقى أنت بتزرع ثغرة بإيدك
عن طريق أدوات زي BurpSuite المهاجم يغير اسم الملف أثناء الرفع لـ: ../../.env
وأظن الرسالة وصلت
الصح

• تشيل Special Characters
• تولد اسم جديد
• تفصل التخزين عن الاسم الأصلي

مقال مهم جدًا: https://www.onsecurity.io/blog/file-upload-checklist/

---

​

Storage Folder قابل للتنفيذ = اختراق مباشر​

إنك تدي storage صلاحية 777 علشان الموقع يشتغل ده إعلان رسمي إنك عايز تتخترق
أي ملف PHP ملغوم يترفع
يتنفذ
وانتهى الموضوع.

الصح التزم بتوصيات Laravel:
directories 775
files 664

---

​

خطر ملفات SVG​

ملفات SVG مش صور بريئة دي ممكن تحتوي JavaScript
يعني:

• سرقة Cookies
• اختراق حسابات
• XSS صريح

غلط

$request->validate([
  'file' => 'required|mimes:images/*'
]);

الصح

$request->validate([
  'file' => 'required|mimes:jpg,jpeg,png|max:2000'
]);

ولو مش محتاج SVG اقفلها خالص

---

​

اسمح بالملفات… متمنعش​

أكبر غلطة: إنك تمنع امتدادات بعينها
الصحيح: اسمح بامتدادات محددة فقط
مثال صح

$request->validate([
  'file' => 'required|mimes:zip,pdf|max:2000'
]);

أغلب المواقع المخترقة اللي بشوفها جاية من سكريبتات جاهزة من: https://codecanyon.net/

---

​

خطر XSS مع {!! !!}​

لو استخدمت {!! $var !!} مرة واحدة بس والهاكر شافها أنت كده فتحتله الباب
XSS هنا خطير جدًا وبيحصل وانت مش واخد بالك.
الصح {{ $var }} ولو مش فاهم XSS كويس ابعد عن {!! !!} خالص.

---

​

SQL Injection مع Query Builder​

استخدام whereRaw مع input من المستخدم يعني اختراق مباشر.
خطر

DB::table('posts')
 ->whereRaw('id='.$id)
 ->first();

دي من أخطر ثغرات OWASP Top 10

الصح
استخدم ORM: \App\Models\Post::where('id', $id)->first();

---

​

APP_DEBUG = فضيحة أمنية​

ترك APP_DEBUG=true في production بيكشف:

• Paths
• Repo
• Commits
• أسرار الكود

والمصيبة إنها موجودة حتى في Laravel 9

الحل
اقفله فورًا في production.

---

​

الخلاصة المهمة​

لو استفدت بمعلومة واحدة بس فالبوست نجح
Laravel قوي بس أي إهمال بسيط يحوّله لكابوس أمني
الأمان مش نقص معرفة أغلب الوقت نقص تركيز أو استعجال.