【渗透测试】Webpack源码泄露(js.map泄露)

最新推荐文章于 2024-10-04 21:38:17 发布
最新推荐文章于 2024-10-04 21:38:17 发布
阅读量3k 收藏 13
点赞数 6
分类专栏: 渗透测试 文章标签: webpack js.map泄露 web安全 安全架构 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/140316032
版权

一、漏洞简介

在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险

二、配置环境

  1. 安装nodejs

查看版本信息: npm -v

在这里插入图片描述

  1. 安装reverse-sourcemap

npm install -g reverse-sourcemap

在这里插入图片描述

三、js.map反编译

在目录扫描、Burpsuite数据返回包中发现存在js.map路径,下载该文件进行反编译:
reverse-sourcemap --output-dir . xxx.js.map

在这里插入图片描述

反编译后,即可查看源码JS文件结构及内容

在这里插入图片描述

通过泄露的Webpack源码,可以搜索API接口、AccessKey、Password、Phone等敏感信息

四、修复建议

  1. 禁用生成源映射文件:
    在生产环境中,应该禁用生成.map文件或者配置Webpack不生成这些文件。这可以通过在Webpack配置中设置devtool选项为false或者none来实现
    示例配置:
javascript
module.exports = {
  // 其他配置...
  devtool: false, // 或者 'none'
};
  1. 限制源映射的访问权限:
    如果无法完全禁用.map文件的生成,确保这些文件仅在需要调试时可用,并限制访问权限。
    可以通过Web服务器配置、权限设置或者在构建后删除这些文件来实现限制访问
  2. 加密或混淆源映射文件:
    对生成的.map文件进行加密或者混淆,以增加泄露后的难度。这可以通过使用专门的工具或者插件来实现
Hello_Brian
关注
专栏目录
网络安全WebPack源码(前端源码泄露 + jsmap文件还原
等风来
04-09 4071
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。
漏洞挖掘】——49、 Webpack源代码泄露
Fly_鹏程万里
06-07 338
基本介绍Webpack是一个开源的前端代码打包工具,它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度,Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具,可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括:模块化规范:支持CommonJS、AMD、ES6等多种模块化规范。
webpackjs打包后的map文件详解
11-26
类似于这样的map文件 由webpack自动生成 参数: devtool: ‘#eval-source-map’,//映射js到原文件 由于打包后的js调试不方面,所以应用此,自动映射报错到原文件 还是很有用的 同样的css设置如下 { test: /\.css$/, loader: 'style-loader!css-loader?sourceMap' } 以上这篇webpackjs打包后的map文件详解是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
webpack教程之webpack.config.js配置文件
10-19
本篇文章主要介绍了webpack教程之webpack.config.js配置文件 ,具有一定的参考价值,有兴趣的可以了解一席
webpack信息泄露
最新发布
qq_54030686的博客
10-04 925
先看看webpack中文网给出的解释webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险那么就是说,存在webpack信息泄露问题的网站目录中,存在.map文件,该文件内包含了所有的js文件。
记录一次发现Webpack源码泄露js.map泄露)过程
qq_41760817的博客
12-13 8418
记录发现webpack源代码泄露的复现,js.map文件泄露
.js.map文件泄露/Springboot信息泄露
qq_68163788的博客
07-02 2579
.js.map文件泄露/Springboot信息泄露是一种常见的安全漏洞,可能导致敏感信息泄露。.js.map文件通常用于调试JavaScript代码,包含了源代码和调试信息。如果这些文件未经适当保护而被暴露在公共网络上,攻击者可以通过查看这些文件来获取关键代码、URL和其他敏感信息。 与此同时,Spring Boot是一个流行的Java应用程序框架,但在错误配置的情况下,可能会导致敏感信息的泄露。例如,如果开发人员在应用程序中使用了默认的配置而没有适当地对其进行安全性检查和配置,可能会导致敏感信息。
webpack 源码泄露
LuckySec
12-03 2万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
Webpack源码泄露到Vue快速入门
记录开发和安全学习过程中的点点滴滴
05-23 2523
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
渗透测试webpack源码泄露
weixin_46072207的博客
07-24 932
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
Webpack源码泄露
内心不种满鲜花就会长满杂草
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 3307
Webpack Sourcemap文件泄露漏洞
解决Webpack Sourcemap 信息泄露漏洞
dongbc0812的博客
06-18 935
前情提要:项目发布现场上线之后,扫描出一个Webpack Sourcemap信息泄露漏洞,网上搜索的方法都是需要修改webpack的配置文件,但是项目比较简单,是直接使用npm run build 来执行构建打包并没有webpack.config文件。
逻辑漏洞合集
黑战士的博客
08-17 177
水平越权:一个用户可以查看其他用户的信息,比如一个招聘网站,每个人可以查看自己的信息,例如身份证号、姓名、头像等,但是一个用户能查看其它用户的信息,这就属于水平越权,同样修改其他人信息,删除也为水平越权。逻辑漏洞覆盖面很广,并发问题,支付漏洞在本文中均没有提及,一是并发问题没有特别大的危害,只有企业SRC才会收录,二是支付漏洞本人太菜,没有挖到过!OA系统越权登录,这里的逻辑为使用学生的学号登录统一认证,统一认证有跳转OA系统的链接点,学生用户是进入不了OA系统的,但是老师的工号可以进入。
webpack代码泄露漏洞研究
weixin_44023460的博客
09-15 1673
Webpack的核心运行时代码位于node_modules/webpack/lib目录下,攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据,例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞
Webpack前端源码泄露漏洞
热门推荐
网安君的博客
03-16 2万+
什么是Webpackwebpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 3366
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
前端Vue项目webpack打包部署后源码泄露解决
MCCLS的博客
06-25 3252
前端Vue项目webpack打包部署后源代码泄露解决
webpack.base.config.jswebpack.dev.conf.jswebpack.config.jswebpack.prod.conf.js和 vue 项目中的config文件夹下的index.js
07-22
在一个Vue项目中,常见的Webpack配置文件包括: 1. `webpack.base.config.js`:这是一个基础的Webpack配置文件,定义了通用的配置选项,例如入口文件、输出路径、模块解析规则等。它是不同环境配置文件的基础。 2. `webpack.dev.conf.js`:这是用于开发环境的Webpack配置文件。它会基于`webpack.base.config.js`进行扩展和覆盖,添加一些开发环境特定的配置选项,例如热重载、Source Maps等。 3. `webpack.prod.conf.js`:这是用于生产环境的Webpack配置文件。它同样会基于`webpack.base.config.js`进行扩展和覆盖,添加一些生产环境特定的配置选项,例如代码压缩、资源优化等。 4. `webpack.config.js`:在某些项目中,可能会使用单一的Webpack配置文件来同时处理开发环境和生产环境。这个文件会根据环境变量动态地配置Webpack。它可能会引入`webpack.base.config.js`并根据环境变量来扩展或覆盖一些配置选项。 5. `config/index.js`:这是一个存放项目全局配置的文件夹。其中的`index.js`文件包含了一些开发和生产环境的全局配置选项,例如服务器地址、端口号、是否开启热重载等。你可以在这个文件中进行自定义配置以满足项目的需求。 需要注意的是,具体的配置内容和结构可能因项目而异,你可以根据项目需求自定义修改这些配置文件。这些文件的目的是为了方便开发者根据不同环境和需求来配置和优化Webpack打包过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值