Audit Website Laravel

Securitate CSRF și middleware

Verificăm activarea protecției CSRF pe toate formularele și configurarea middleware-ului de securitate. Analizăm stack-ul de middleware pentru vulnerabilități și configurări lipsă.

Expunere fișier .env și debug mode

Testăm accesibilitatea publică a fișierului .env care conține credențiale sensibile. Verificăm dacă debug mode este dezactivat în producție și dacă APP_KEY este configurat corect.

Performanță Eloquent și N+1 queries

Detectăm pattern-uri de N+1 queries în paginile publice care încetinesc dramatic încărcarea. Analizăm utilizarea eager loading și query optimization în rutele frecvent accesate.

Securitate Blade templates

Verificăm utilizarea corectă a escape-ului automat {{ }} vs {!! !!} în template-urile Blade. Detectăm situațiile unde conținut nesanitizat este randat direct în HTML.

Optimizare asset pipeline

Analizăm configurarea Laravel Mix sau Vite pentru compilarea și minificarea asset-urilor CSS și JavaScript. Verificăm versionarea fișierelor pentru cache busting eficient.

Configurare deployment producție

Verificăm dacă optimizările de producție sunt aplicate: config:cache, route:cache, view:cache și autoloader optimization. Evaluăm configurarea Laravel Forge sau deployment manual.

Securitate sesiuni și autentificare

Analizăm configurarea driver-ului de sesiuni, expirarea token-urilor și protecția împotriva session hijacking. Verificăm implementarea rate limiting pe rutele de autentificare.

Fișier .env accesibil public

Fișierul .env care conține parole de bază de date, chei API și APP_KEY este accesibil direct prin browser. Un atacator poate prelua controlul complet asupra aplicației și bazei de date.

Soluție: Configurați serverul web să blocheze accesul la fișierele dotfiles și verificați că document root indică spre directorul /public, nu spre rădăcina proiectului.

Debug mode activ în producție

APP_DEBUG=true expune stack traces complete cu nume de fișiere, query-uri SQL și variabile de mediu. Atacatorii obțin o hartă completă a infrastructurii aplicației.

Soluție: Setați APP_DEBUG=false și APP_ENV=production în .env-ul de producție și configurați un error handler personalizat cu logging.

N+1 queries pe paginile publice

Listările de produse sau articole execută câte un query separat pentru fiecare relație, generând sute de interogări pe o singură pagină. Timpul de răspuns crește de la 200ms la 3-5 secunde.

Soluție: Implementați eager loading cu with() în Eloquent queries și activați preventLazyLoading() în AppServiceProvider pentru detectarea automată în development.

Asset-uri necompilate și neversionare

Fișierele CSS și JavaScript sunt servite fără minificare și fără hash de versiune. Browser-ele folosesc versiuni vechi din cache, iar dimensiunea fișierelor este cu 40-60% mai mare.

Soluție: Configurați Laravel Mix sau Vite cu mix.version() pentru cache busting automat și asigurați-vă că npm run production este executat la deployment.

Lipsa cache-urilor de configurație

Laravel parsează fișierele de configurare, rutele și view-urile la fiecare request în loc să folosească versiuni cache-uite. Timpul de boot al framework-ului crește cu 50-100ms per request.

Soluție: Executați php artisan config:cache, route:cache și view:cache la fiecare deployment și includeți aceste comenzi în scriptul de deployment automat.

Rate limiting absent pe formulare

Formularele de login, înregistrare și contact nu au rate limiting configurat. Atacatorii pot lansa brute-force attacks sau spam automatizat fără restricții.

Soluție: Aplicați middleware-ul throttle pe rutele de autentificare și formulare, configurând limite rezonabile (ex: throttle:5,1 pentru 5 încercări pe minut).

Securizați fișierele sensibile și configurarea

Blocați accesul public la .env, storage/ și fișierele de configurare prin reguli de server web. Setați APP_DEBUG=false, configurați APP_KEY unic și folosiți variabile de mediu diferite pentru fiecare environment.

Optimizați interogările Eloquent

Activați preventLazyLoading() în development pentru a detecta N+1 queries automat. Folosiți eager loading cu with(), selectați doar coloanele necesare cu select() și implementați caching pentru query-urile frecvente.

Configurați asset pipeline-ul pentru producție

Folosiți Laravel Vite sau Mix cu minificare, compresie și versionare automată. Configurați preloading pentru asset-urile critice și lazy loading pentru scripturile neesențiale.

Activați toate cache-urile de producție

Rulați config:cache, route:cache, view:cache și event:cache la fiecare deployment. Configurați OPcache pentru PHP și folosiți Redis sau Memcached ca driver de cache pentru aplicație.

Implementați securitate în profunzime

Activați CSRF pe toate formularele, configurați rate limiting pe rutele sensibile, folosiți prepared statements prin Eloquent și setați security headers (HSTS, CSP, X-Frame-Options) în middleware-ul web.

Platformă SaaS — securizare și optimizare producție

Înainte: 34/100 → După: 93/100

O platformă SaaS cu 10.000 utilizatori avea .env accesibil public și debug mode activ. După securizarea configurării, activarea cache-urilor și optimizarea Eloquent, timpul de răspuns a scăzut de la 3.2s la 450ms, iar vulnerabilitățile critice au fost eliminate.

Portal de conținut — optimizare Eloquent și caching

Înainte: 47/100 → După: 90/100

Un portal media cu 25.000 de articole suferea de N+1 queries pe listări, generând 400+ interogări per pagină. Implementarea eager loading și Redis cache a redus query-urile la 8 per pagină, iar TTFB-ul a scăzut de la 2.8s la 320ms.