05 — .env Leak

1

Was ist ein .env-Leak?

Programmierer speichern geheime Schlüssel (Stripe, DB-Passwort, Mail-API) in einer Datei namens .env. Diese Datei darf NIEMALS öffentlich sein.

Aber: Bei 1000 Webseiten ist sie es. Der Hacker probiert einfach deinshop.de/.env – und hat alle Schlüssel.

2

🎮 Sei der Hacker

⚠ Versteckte Dateien finden
curl shop.de/
3

Was er mit dem Stripe-Key macht

hacker-terminal
$ curl https://api.stripe.com/v1/balance \
       -u sk_live_51H...:

{
  "available": [{
    "amount": 2847500,
    "currency": "eur"
  }]
}
28.475 € auf deinem Stripe-Konto. Er erstellt Refunds auf seine Karten oder belastet Kunden mit gespeicherten Karten-Tokens. Innerhalb 1 Stunde alles weg.
4

🔍 Scanne deine echte Seite

Wir probieren .env, backup.sql, .git/* und scannen das HTML auf hardcodierte Stripe-/AWS-/Google-Keys.

🔍 Live-Scan: .env & geleakte Dateien

Probiert .env, backup.sql, .git/* und scannt das HTML auf hardcodierte Stripe-/AWS-Keys.

5

✅ Wie schützt du dich?

  • 📁 .env NIE deployen: in .gitignore UND nicht in den Webroot kopieren
  • 🔐 Secrets im Vault: als Environment Variables auf dem Server, nicht in Dateien
  • 🌐 Frontend nur publishable Keys ( pk_...) – niemals sk_...
Plattformen wie Vercel, Cloudflare, Supabasehaben einen eingebauten Secret-Vault. Es gibt gar keine .env-Datei auf dem Server – nichts zum Leaken.
Test: Öffne im Browser deinshop.de/.env. Bekommst du 404? ✓ Sicher. Sonst: SOFORT fixen.