转载:挖洞思路:前端源码泄露漏洞并用source map文件还原

最新推荐文章于 2024-05-13 11:08:26 发布
最新推荐文章于 2024-05-13 11:08:26 发布
阅读量2.1k 收藏 3
点赞数
文章标签: 前端 javascript webpack 安全
原文链接:https://blog.csdn.net/qq_44930903/article/details/124257571
版权

注:source map原理可以参考文章JavaScript Source Map 详解 - 阮一峰的网络日志

0x01漏洞简介
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue应用会使用webpack进行打包,如果没有正确配置,就会导致Vue源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。

0x02 漏洞复现
找到含.map的js页面
进入到一个*.js的页面查看源码:

选一个点进去拉到最下面:

 后缀加上.map访问https://xxx.js.map

会直接下载app.91c9e19843b6a38f9ff5.js.map

0x03 source map文件还原
reverse-sourcemap

这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。

全局安装

npm install --global reverse-sourcemap


然后( -o 后面跟的是还原后的目录)

reverse-sourcemap -o aaa -v app.9fbea7c7.js.map


0x04 检测插件
SourceDetector是一个谷歌浏览器插件,此插件可以自动的判断网站是否存在js.map文件,并且能够利用该插件直接下载到js.map的Vue源码

git clone https://github.com/LuckyZmj/SourceDetector-dist

提示:
如果此命令下载失败,可直接访问https://github.com/LuckyZmj/SourceDetector-dist下载.zip文件:

 然后解压,谷歌浏览器添加扩展程序(注意是添加文件中的dist文件夹)

 

 0x05 漏洞修复
在项目路径下修改config/index.js中build对象productionSourceMap: false;
建议删除或禁止访问正式环境中的js.map文件;
————————————————
版权声明:本文为CSDN博主「白帽子九一」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_44930903/article/details/124257571

hrayha
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2607
Webpack Sourcemap文件泄露漏洞
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息
weixin_33896726的博客
11-12 1825
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息 1. js 压缩 js 压缩对前端开发者来说是一门必修课。 一般来说,压缩 js 主要出于以下两个目的: 减小代码体积,加快前端资源加载速度 保护源代码不被别人获取 压缩 js 使用的工具库: UglifyJS2: 压缩 es5 uglify-e...
漏洞挖掘】sourcemap、webpck源码泄露漏洞_sourcemap 文件泄露漏洞
2401_84688608的博客
05-12 503
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
sourcemap文件泄露漏洞
u011975363的专栏
07-09 1万+
sourcemap信息泄露
漏洞挖掘】sourcemap、webpck源码泄露漏洞_sourcemap 文件泄露漏洞(1)
最新发布
2401_84520401的博客
05-13 781
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
挖洞思路前端源码泄露漏洞并用source map文件还原
热门推荐
白帽子九一
04-18 1万+
一、找到含.map的js页面 进入到一个*.js的页面查看源码: 选一个点进去拉到最下面: 后缀加上.map访问https://xxx.js.map 会直接下载app.91c9e19843b6a38f9ff5.js.map 二、source map文件还原 reverse-sourcemap 这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。 全局安装 npm install --global reverse-sourcemap 然后( -o 后面跟的是还原后的目录) reverse-so
前端源码泄露
lyink001的博客
12-16 2927
攻击者可以通过泄露前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
vue-test-sourcemap::sparkles::sparkles:test{-源码
03-24
当前项目克隆vue源码,用于测试学习vue源码问题 建造调试环境 获取地址: : 安装依赖:npm i 安装汇总:npm i -g汇总//打包工具 修改dev脚本:添加--sourcemap 执行dev脚本:npm run dev 报错问题:没有这样的文件...
前端项目源码:模仿有道云,个人制作的一款多人协同的云笔记.zip
05-03
前端项目源码:模仿有道云,个人制作的一款多人协同的云笔记 前端项目源码:模仿有道云,个人制作的一款多人协同的云笔记 前端项目源码:模仿有道云,个人制作的一款多人协同的云笔记 前端项目源码:模仿有道云,...
微信小程序“反编译”实战(二):源码还原(上篇)
03-29
在上一篇文章 《微信小程序“反编译”实战(一):解包》 中,我们详细介绍了如何获取某一个小程序的 .wxapkg 包,以及分析了 .wxapkg 包的结构,最后通过脚本解压获取包中的文件:小程序“编译”后的代码文件...
qiankun-source-code:微前端框架-qiankun源码阅读
03-23
qiankun(乾坤)源码阅读 主应用的启动start和子应用的注册registerMicroApps 首先,入口index.ts中约会和导出了启动主应用和注册子应用的方法 export { loadMicroApp, registerMicroApps, start } from './apis'; ...
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件漏洞 系统敏感信息泄露
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4132
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检出了漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描出了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
发现Webpack泄露的api
weixin_50464560的博客
08-25 2388
1 - 安装 reverse-sourcemap 需要配置好npm环境 (runoob教程) 使用命令(需要代理) npm install --global reverse-sourcemap 进行安装 2 - 寻找xxx.js.map 如果有sourcemap的话,在js最后会有注释: //# sourceMappingURL=xxxxxxx.js.map 比如这里我要下载MarketSearch.js.map(MarketSearch.js是与站点同名的js,应该是...
前端工具-webpack-sourceMap
往事不回头,余生不将就
10-27 7745
前言 ### 从源码转换讲起 JavaScript脚本正变得越来越复杂。大部分源码(尤其是各种函数库和框架)都要经过转换,才能投入生产环境。 常见的源码转换,主要是以下三种情况:   (1)压缩,减小体积。比如jQuery 1.9的源码,压缩前是252KB,压缩后是32KB。   (2)多个文件合并,减少HTTP请求数。   (3)其他语言编译成JavaScript。最常见的例子就是CoffeeScript。 这三种情况,都使得实际运行的代码不同于开发代码,除错(debug)变得困难重重。 .
根据压缩后的行列数和sourcemap反向定位源码
weixin_30668887的博客
06-08 536
sourcemap文件存储的是JS压缩前和压缩后的映射关系,map文件内容本身就是个json文件。 json格式如下: version 版本号 sources存储的是各个依赖的子文件列表 sourcesContent存储的是各个依赖的子文件源码 其他几个字段暂时还没研究,不过暂时也不需要用到 npm上有对应的sourcemap包,可以用...
前端错误监控之SourceMap还原Vue Demo 实现
GitChat
04-28 1741
上篇写完后,有人留言说不知道在 Vue 中怎么实现这个功能,所以我写了这篇,会讲2种方式来实现 通过 Firefox 开源的 npm 包 source-map 实现在服务端获取映射关系 通过浏览器实现映射关系 ...
SourceMap 使用教程
qq_40126542的博客
07-18 1万+
小编推荐:Fundebug专注于JavaScript、微信小程序、微信小游戏,Node.js和Java实时BUG监控。真的是一个很好用的bug监控费服务,众多大佬公司都在使用。   1. 前言 SourceMap 一个存储源代码与编译代码对应位置映射的信息文件前端的工作中主要是用来解决以下三个方面出现的 debug 问题: a. 代码压缩混淆后 b. 利用 sass 、typeSc...
source map 你知道多少?-- 调试、原理、渗透、还原源码
李刚的学习专栏
05-22 3736
压缩 css 和 javascript 代码,是一种简单且见效明显的的提高 web 性能的方式。但是,当需要调试这些压缩文件中的代码时变成了“噩梦”。source map 是解决该问题的方式之一,其提供了一种将压缩文件中的代码映射回源文件中的原始位置的方法。 Chrome 和 Firefox 开发人员工具都附带了对 source map 的内置支持,这意味着,即使在压缩后,也可以轻松地调试应用程序。 注意: Firefox:开发人员工具默认启用对源地图的支持; Chrome:手动启用支持。启动Chrome
devtools failed to load source map: could not parse content for
09-19
"devtools failed to load source map: could not parse content for" 是一个由开发工具(比如浏览器的开发者工具)反馈出的错误信息。它表示开发工具无法加载源映射文件,并且无法解析相应的内容。 源映射文件是一种与压缩过的 JavaScript 或 CSS 文件相关联的文件,它可以将压缩过的文件映射回原始的、易于阅读和调试的代码。当开发人员使用开发工具进行调试时,这些源映射文件帮助他们定位到正确的源码位置,以便进行错误排查和代码优化。 不过,"devtools failed to load source map: could not parse content for" 错误表明开发工具无法正确加载源映射文件,原因可能是该文件的内容格式有误。这可能是因为源映射文件本身存在问题,或者开发工具无法正确解析其内容。 解决此问题的方法可以有多种。首先,可以尝试重新生成或更新源映射文件,确保其内容正确无误。其次,可以检查开发工具的版本更新,并尝试更新以解决可能的 bug 或问题。另外,还可以尝试使用其他开发工具或构建工具,以确定问题是源映射文件还是开发工具本身的问题。 总的来说,"devtools failed to load source map: could not parse content for" 错误表示开发工具无法加载和解析源映射文件的内容。通过重新生成或更新源映射文件,并检查开发工具的版本更新,有助于解决这一问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值