【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原_webpack还原代码sourcemap

最新推荐文章于 2024-05-23 23:21:47 发布
最新推荐文章于 2024-05-23 23:21:47 发布
阅读量841 收藏 3
点赞数 3
分类专栏: 程序员 文章标签: 前端 web安全 webpack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973153/article/details/138811030
版权

1、利用source-detector插件可以寻找程序中存在的js.map文件

插件的安装使用教程:【CSDN秋说】几款配合Burpsuite使用的Google插件(Wappalyzer、FindSomething、FOFAproView等)

2、在网站JS文件中用关键词寻找js.map文件

3、处理Burp的HTTP历史请求时,不对js文件进行过滤,之后再全局搜索js.map

利用

如果使用的是source detector插件,则该插件可直接对js.map进行还原并保存。

如果不使用该插件,则需要手动进行逆向还原操作,使用的工具为reverse-sourcemap

1、安装reverse-sourcemap

winget install node.js
npm install --global reverse-sourcemap

2、使用reverse-sourcemap还原代码

reverse-sourcemap -o 目录 -v 文件名.js.map

-o:还原后的目录,-v:需要还原的文件

使用windows系统时,上面的命令写绝对路径会报错,此时将文件名放置于目录下,保存同目录即可。

还原后即可打开源文件。

插件附图:

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973153
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端源码泄露
lyink001的博客
12-16 3003
攻击者可以通过泄露前端代码可以针对源代码代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
前端源码泄露了_我勒个豆
m0_66809099的博客
03-13 614
前端项目经过webpack打包后的产物出现了.js.map文件,然后js.map可以通过工具来反编译还原代码,产生代码泄露。2.nginx设置禁止访问.js.map文件。1.前端webpack那层设置。
Webpack源码泄露到Vue快速入门
最新发布
weixin_72543266的博客
05-23 1667
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
小手一敲,让JS Map现原形
qq_43182723的博客
03-06 777
一.前言 文章主要讲JS Map对象的用法和如何手写Map,非常适合初步学习了JS的同学,适当的学会手写JS源码的技能,对JS理解和面试都有很大的帮助。大多数人都知道Map方法的使用,但是在网上对Map源码实现的文章很少,希望通过这篇文章可以帮助到大家对Map方法的理解。 说在前面 Map 对象保存键值对,并且能够记住键的原始插入顺序。任何值(对象或者原始值) 都可以作为一个键或一个值。本...
逆向webpack打包,还原出原始文件
w2sft的博客
08-09 6655
Web前端安全需重视:map文件导致的源码泄露案例。 偶然间,看到一个很高端、大气、科幻的网站: 立即就有学习该网站技术的想法。 查看源码、调出开发者工具,看到如上内容。 简单分析发现,这是一个经webpack打包的js: 而且map文件也存在: 有jsmap两个文件,可以很轻松的还原源码。 NodeJS环境下,安装shuji,这是一个webpack还原工具,借助它,可以很轻松恢复出源代码。 安装过程略。执行还原: 瞬间得到项目源文件js代码、obj模型、贴图等。In
DVWA(Damn Vulnerable Web Application)程序源码v1.9稳定版.zip
02-03
DVWA(Damn Vulnerable Web Application)程序源码v1.9稳定版 需要的赶紧下载哦 最新吧 因外国网站连接失败的原因下载速度慢或者无法打开所以为你们提供的
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 335
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
dvwa页面打不开的原因_影响网站打开速度的原因有哪些
weixin_42549496的博客
12-15 1550
在运营网站的时候会发现,有的时候网站打开很快,有的时候网站打开的很慢,网站打开的快慢影响着用户体验以及搜索引擎的友好性。那么,影响网站打开速度的原因有哪些呢?1、网站页面的大小网站页面的大小直接影响着网站打开速度,如果网站图片过多,代码也多,那么网站的打开速度就会变慢。2、服务器的稳定性服务器的稳定性是影响网站打开速度的重要原因,如果服务器不稳定,网站就会打开慢或者打不开,严重的影响用户体验以及搜...
html5手机电商网页设计代码_北京营销型网页设计费用,电商做网站服务价格
weixin_39938165的博客
11-11 294
北京营销型网页设计费用,电商做网站服务价格,有些企业旗下有很多产品或者不同的服务,既想突出这款产品,又怕忽略那个服务,这样做很容易造成一个网站有多个主题,不仅网站内容看起来杂乱无章,而且也不利于搜索引擎对于网站的定位,不利于网站优化。一网站主。大多数服务器或空间已被默认缓存设置,webmaster或seoer所要做的就是在后台设置相应的文件类型和过期时间。在这里,建议是如果它是一个Windows主...
DVWA--登录页面错误问题“解决办法”
sinat_26474359的博客
11-15 1万+
Fatal error: Uncaught exception 'PDOException' with message ' in D:\DVWA\wamp\www\DVWA-1.9\dvwa\includes\dvwaPage.inc.php on line 469 PDOException: in D:\DVWA\wamp\www\DVWA-1.9\dvwa\includes\dvwaPa
【dvwa时的奇奇怪怪的问题】(burpsuit的问题,dvwa的问题)(暴力破解、MySQL注入等)
AZK707的博客
03-09 6985
以下是我自己遇见的,但网上查不到的问题,还有的常见问题一般百度得到,我就没写了,有其他问题可以私聊,或者在评论去进行补充 目录 以下是我自己遇见的,但网上查不到的问题,还有的常见问题一般百度得到,我就没写了,有其他问题可以私聊,或者在评论去进行补充 一、dvwa网站打开是一堆代码 二、dvwa网站能正常打开,但是输入密码无法正常登录,显示密码错误 三、burpsuite抓的包里cookie值有两个、在dvwa里设置成low等级,再去准备攻击时又变成其他的等级了 一、dvwa网站打开是一堆
dvwa页面打不开的原因_这些原因会导致我们网站的打开速度减慢吗?
weixin_33280038的博客
12-14 1931
站点想要获得更多的流量,想要得到更多的用户来访问,我们不仅要满足用户的需求,网站开得也要快,否则谁会在那墨迹等着你的站点慢慢打开。要想解决这个问题,下面跟我一起来看一看吧,这些原因会导致我们网站的打开速度变慢。第一,服务器稳定。优秀的服务器配置更好,运行自然更流畅,但配置不好的资源就不同了,打开速度慢不说还容易卡死,导致网站无法打开。第二,页面大小。打开一个网页,所有的数据都会被下载,无论是图片还...
dvwa下载及安装-图文详解+phpStudy配置
热门推荐
wzhua的博客
09-26 2万+
dvwa下载及安装-图文详解+phpStudy配置 有链接
[Java安全]—Agent内存马
Sentiment的博客
08-17 3665
在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目的。而在 jdk 1.5之后引入了 java.lang.instrument 包,通过 java.lang.instrument 提供的对字节码进行操作的一系列api,而使用这些api开发出的程序就可以称之为java agent。agent内存马就是利用上述特性修改特定的类或者方法,从而实现恶意方法的注入。Ja...
java字节码插桩详解以及一个简单的示例
a807719447的专栏
06-07 1490
visitMethodInsn(int opcode, String owner, String name, String desc, boolean itf):访问方法调用指令,opcode表示指令的操作码,owner表示方法所属的类名,name表示方法名,desc表示方法描述符,itf表示方法是否为接口方法。它是一个抽象类,需要继承并实现其中的方法来实现对方法字节码的访问和修改。方法中,我们可以指定要添加的方法操作码类型、方法所属的类、方法的名称、方法的描述符和是否为接口方法,从而修改方法的字节码。
DVWA靶场——下载与安装(全)
weixin_45923850的博客
10-17 1万+
DVWA详细安装过程,新手避免踩坑
python读取与保存图片的exif信息
Jeff_zjf的博客
12-02 1万+
图片的exif文件格式中保存了很多信息,比如GPS经纬度,高度,焦距等信息。 在图片的属性中可以看到这些信息: 我们可以使用python来进行exif数据的读取和保存。 1. 首先安装piexif pip3 install piexif 2.exif数据读取代码 import piexif from PIL import Image # Read Image fname = './1.JPG' img = Image.open(fname) exif_dict = piexif.loa
如何修改照片元数据
Equinox_ji的博客
01-27 942
之所以不用EXIFTool去批量修改,是因为我的照片的位置信息笔记乱,需要看着照片才知道大概是在哪个位置拍的。如果你的照片就是在一个位置拍的,也可以用EXIFTool直接修改。如果你不熟悉命令行的方式,这里也提供了一个GUI界面的EXIFtool,可以直接在右边的界面里修改照片元数据。这个建议用Adobe Bridge修改,通过查找元数据,找到GPS为空的图片或视频。3)在命令行中,输入想要操作的指令,我把一些常用指令放在了下面。筛选出没有GPS信息的照片后,再批量添加GPS信息。
webpack源码泄露
08-21
webpack源码泄露是指在某些情况下,webpack项目的源代码可能会被泄露出去。当项目的源代码泄露时,攻击者可以获得包括API、加密算法、管理员邮箱和内部功能等敏感信息。 在浏览器控制台中,可以通过访问Sources -> Page -> webpack://来查看webpack项目的源代码。然而,并不是所有情况下都可以直接在浏览器控制台中查看到webpack项目源码。 如果无法直接在浏览器控制台中查看到源代码,但网站上存在js.map文件,我们可以通过一些工具如reverse-sourcemap还原webpack项目的源码。这些工具可以解析js.map文件中的内容,从而恢复出webpack项目的源代码。 为了避免webpack源码泄露,开发者应该正确配置webpack以确保源代码安全性。同时,定期进行漏洞检测是非常重要的,以便及时发现和修复可能存在的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值