Desde hace tiempo comencé a dar mis primeros pasos en Symfony2, un framework de PHP5 realmente sorprendente. Mi experiencia con la versión symfony 1.4.x fue fantástica pero realmente la versión 2.x supera cualquier expectativa en un entorno de desarrollo y producción.En lo personal, creo que este tipo de herramientas son las que están reviviendo al lenguaje PHP y sumando más programadores, Symfony2 aporta una experiencia y una formación importante a todos sus usuarios que deberían comenzar a probarlo.
Pero así como es un framework de lo más cool, Google ya comenzó a indexar cosas que no debería, o si lo vemos del lado de los usuarios, le están dejando la puerta abierta de las aplicaciones para que Google las indexe.
La verdad es que encontré varios dorks nuevos en Google con Symfony2 que los voy a ir publicando con el correr del tiempo.
Una de las primeras cosas que me gustó o que me llamó la atención al comenzar a utilizar Symfony2 es su gestor de instalación y luego por defecto la pantalla de presentación del framework.
inurl:/app_dev.php "Symfony - Welcome"
Lo que podemos ver como resultados en las búsquedas son un listado de sitios que descuidaron por completo la seguridad de su aplicación web, en primer lugar dejando acceder de manera voluntaria al entorno de desarrollo, ya que por defecto solo es posible acceder solo desde localhost y por otro lado no eliminaron las rutas, los bundles y las vistas que vienen por defecto al momento de descargar Symfony2
Yo apenas he probado Symfony pero creo que la persona que sube el archivo app_dev.php es algo descuidado.
ResponderBorrarLo que se podría hacer es meter dicho archivo dentro de otra carpeta junto con un .htaccess que no permita el acceso o un archivo que prevenga los bots.
efectivamente, pusieron en producción todos los archivos sin importar contenidos ni agregar restricciones en robots.txt
ResponderBorrarLo más interesante es que app_dev.php por defecto no es posible acceder desde otro lado que no sea localhost o 127.0.0.1 pero definitivamente agregaron más direcciones, por lo cuál da la pauta que no estan utilizando algun sistema de control de versiones.
Saludos