【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原

最新推荐文章于 2024-07-10 10:27:27 发布
最新推荐文章于 2024-07-10 10:27:27 发布
阅读量3.2k 收藏 14
点赞数 25
分类专栏: 网络安全 文章标签: 前端 web安全 webpack
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/137551896
版权

前言

webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。

漏洞风险

通过泄露的前端源代码可以查找各种信息,如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者尝试未授权漏洞、拼接接口越权漏洞、查找源代码中关键字去GitHub查找程序源码进行代码审计。

寻找js.map

1、利用source-detector插件可以寻找程序中存在的js.map文件

插件的安装使用教程:【CSDN秋说】几款配合Burpsuite使用的Google插件(Wappalyzer、FindSomething、FOFAproView等)

2、在网站JS文件中用关键词寻找js.map文件

3、处理Burp的HTTP历史请求时,不对js文件进行过滤,之后再全局搜索js.map

利用

如果使用的是source detector插件,则该插件可直接对js.

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 25
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
【漏洞挖掘】——49、 Webpack源代码泄露
Fly_鹏程万里
06-07 172
基本介绍Webpack是一个开源的前端代码打包工具,它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度,Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具,可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括:模块化规范:支持CommonJS、AMD、ES6等多种模块化规范。
记录一次发现Webpack源码泄露js.map泄露)过程
qq_41760817的博客
12-13 6479
记录发现webpack源代码泄露的复现,js.map文件泄露
前端源码泄露
lyink001的博客
12-16 3194
攻击者可以通过泄露前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
.js.map文件泄露/Springboot信息泄露
qq_68163788的博客
07-02 1582
.js.map文件泄露/Springboot信息泄露是一种常见的安全漏洞,可能导致敏感信息泄露。.js.map文件通常用于调试JavaScript代码,包含了源代码和调试信息。如果这些文件未经适当保护而被暴露在公共网络上,攻击者可以通过查看这些文件来获取关键代码、URL和其他敏感信息。 与此同时,Spring Boot是一个流行的Java应用程序框架,但在错误配置的情况下,可能会导致敏感信息的泄露。例如,如果开发人员在应用程序中使用了默认的配置而没有适当地对其进行安全性检查和配置,可能会导致敏感信息。
前端js.map文件泄露
weixin_60965776的博客
11-20 2277
转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原文件
Webpack源码泄露到Vue快速入门
记录开发和安全学习过程中的点点滴滴
05-23 1966
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
webpack 源码泄露
LuckySec
12-03 1万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
Webpack前端源码泄露漏洞
热门推荐
网安君的博客
03-16 2万+
什么是Webpackwebpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
【渗透测试】Webpack源码泄露js.map泄露
最新发布
网络安全从业者的学习笔记
07-10 1721
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
webpack代码泄露漏洞研究
weixin_44023460的博客
09-15 1534
Webpack的核心运行时代码位于node_modules/webpack/lib目录下,攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据,例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。
html+css+js基础问答
qq_43751465的博客
08-26 5160
css3 1.标签语义化 顾名思义,合理的标签干合适的事情 块级(display:block):div 、p、h1~h6、hr、ul、ol、li、dl、dd、form、table、header、footer、main、nav、sector、arcitcle、pre、table、tbody、thead、th、tr、tfoot 行级(display:inline):a、span、small、strong、em、i、code、 行内块(display:inline-block):img、input 区别: 1.
前端进阶垫脚石-前端工程化
郊眠寺
11-11 192
Jenkins功能特点提供各系统搭建方式,提供基于 Docker 的容器化搭建方式免费多类型 Job插件系统丰富Job 配置灵活提供 Restful 的 API 接口胜在插件系统丰富且完全开源免费缺点是缺少语言环境工作流的模板,使用成本高,服务器需要独立部署和运维CircleCI功能特点基于云端的持续集成服务免费版本受限制,收费提供更多功能缓存依赖安装的数据基于 SSH 访问构建容器开箱即用,配置简化提供 Restful 的 API 接口。
Webpack源码泄露
越努力 越自由
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
前端Vue项目webpack打包部署后源码泄露解决
MCCLS的博客
06-25 3132
前端Vue项目webpack打包部署后源代码泄露解决
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 3212
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 364
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2932
Webpack Sourcemap文件泄露漏洞
webpack源码泄露
08-21
webpack源码泄露是指在某些情况下,webpack项目的源代码可能会被泄露出去。当项目的源代码泄露时,攻击者可以获得包括API、加密算法、管理员邮箱和内部功能等敏感信息。 在浏览器控制台中,可以通过访问Sources -> Page -> webpack://来查看webpack项目的源代码。然而,并不是所有情况下都可以直接在浏览器控制台中查看到webpack项目源码。 如果无法直接在浏览器控制台中查看到源代码,但网站上存在js.map文件,我们可以通过一些工具如reverse-sourcemap还原webpack项目的源码。这些工具可以解析js.map文件中的内容,从而恢复出webpack项目的源代码。 为了避免webpack源码泄露,开发者应该正确配置webpack以确保源代码的安全性。同时,定期进行漏洞检测是非常重要的,以便及时发现和修复可能存在的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值