sourcemap文件泄露漏洞

已于 2023-04-14 17:04:35 修改
阅读量4.2k 收藏 10
点赞数 2
分类专栏: web安全 文章标签: 前端 web安全 安全
于 2023-04-12 15:21:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854662/article/details/130108174
版权

最近进行渗透测试时,时常遇到xray扫出sourcemap文件,每次扫到都要百度,因此做个笔记。

漏洞原理

在日常测试时,经常会遇到以js.map为后缀的文件
这是jQuery中的一个新功能,支持Source Map
非常多Webpack打包的站点都会存在js.map文件.
通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞

什么是Source map
简单说,Source map就是一个信息文件,里面储存着位置信息。转换后的代码的每一个位置,所对应的转换前的位置。
有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。

漏洞复现

使用xray扫到 dirscan/sourcemap/default 漏洞。
在这里插入图片描述
直接访问链接可下在sourcemap文件,利用该文件还原源代码需使用reverse-sourcemap工具。
先安装:nodejs,
下载地址:https://nodejs.org/zh-cn/download/
选择适合自己操作系统的版本:
在这里插入图片描述
双击下载后的文件,一路点击 next即可成功安装
在这里插入图片描述
安装完nodejs后,控制台输入:

npm -v

即可查看安装的版本。
在这里插入图片描述
然后安装 reverse-sourcemap

npm install --global reverse-sourcemap

安装完成(PS:我电脑中已经有reverse-sourcemap,所以大家如果为初次安装看到信息可能跟我不一样)。
在这里插入图片描述

安装完成后,将其加入环境变量
在这里插入图片描述
检查是否安装成功:

reverse-sourcemap -h

安装成功
在这里插入图片描述
还原map文件

reverse-sourcemap -v ****.js.map -o output

map文件会还原到 output文件

同时还可以通过浏览器,开发者模式-source模块查看前端源代码
在这里插入图片描述

漏洞修复

临时的解决方法就是删除代码目录下的.map文件;
永久的解决方法就是在build的时候禁用产生map文件的功能;
在scripts/build下的build.js 文件中添加如下配置:
process.env.GENERATE_SOURCEMAP = ‘false’;
重新build就不会再产生sourcemap文件了

参考链接:https://cloud.tencent.com/developer/article/1981398

zxl2605
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2574
Webpack Sourcemap文件泄露漏洞
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件漏洞 系统敏感信息泄露
SourceMap 文件泄露漏洞
11-15 313
百度一下很多方案,待都说是confing/index.js 文件里配置 productionSourceMap: false;应该在vue.config.js里配置。但实际vue工程没有这个文件
sourcemap 代码泄露漏洞
小雨的博客
08-21 1676
source map 漏洞和修复
漏洞挖掘】sourcemapwebpck源码泄露漏洞_sourcemap 文件泄露漏洞
最新发布
2401_84688608的博客
05-12 466
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
漏洞挖掘】sourcemapwebpck源码泄露漏洞
tyty2211的博客
11-20 4481
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
前端js.map文件泄露
weixin_60965776的博客
11-20 2000
转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原的文件
记一次Vue源码泄露
weixin_44820552的博客
03-30 5509
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
Sourcemap是什么?Sourcemap的作用及用法概括
热门推荐
Baron的技术blog
08-06 2万+
什么是Sourcemap Sourcemap 本质上是一个信息文件,里面储存着代码转换前后的对应位置信息。它记录了转换压缩后的代码所对应的转换前的源代码位置,是源代码和生产代码的映射。 Sourcemap 解决了在打包过程中,代码经过压缩,去空格以及 babel 编译转化后,由于代码之间差异性过大,造成无法debug的问题。 Sourcemap的作用 简单说 Sourcemap 构建了处理前以及处理后的代码之间的一座桥梁,方便定位生产环境中出现 bug 的位置。因为现在的前端开发都是模块化、组件化的方式,在
挖洞思路:前端源码泄露漏洞并用source map文件还原
白帽子九一
04-18 1万+
一、找到含.map的js页面 进入到一个*.js的页面查看源码: 选一个点进去拉到最下面: 后缀加上.map访问https://xxx.js.map 会直接下载app.91c9e19843b6a38f9ff5.js.map 二、source map文件还原 reverse-sourcemap 这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。 全局安装 npm install --global reverse-sourcemap 然后( -o 后面跟的是还原后的目录) reverse-so
vscode 报错之 Could not read source map for file... 解决方案
04-18
vscode 报错之 Could not read source map for file... 解决方案
sourcemapper:从Sourcemap文件中提取JavaScript源树
05-05
源映射器Sourcemapper有点golang来解析由webpack或类似工具生成的源映射,并吐出原始JavaScript文件,然后基于源映射中的文件路径重新创建源树。 可以在此处找到说明其目的的文章: : 用法:~$ ./sourcemapperUsage ...
vite-sourcemap-repro
03-20
vite-sourcemap-repro
JavaScript Source Map.epub
11-24
“简单说,Source map就是一个信息文件,里面储存着位置信息。也就是说,转换后的代码的每一个位置,所对应的转换前的位置。 有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码。这无疑给...
转载:挖洞思路:前端源码泄露漏洞并用source map文件还原
HRay's blog
01-21 2103
大部分Vue应用会使用webpack进行打包,如果没有正确配置,就会导致Vue源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列,2024年最新vue总结来了
2401_84545016的博客
05-05 999
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作。
弄懂 SourceMap前端开发提效 100%
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
11-09 1959
点击上方前端瓶子君,关注公众号回复算法,加入前端编程面试算法每日一题群一、什么是 Source Map通俗的来说, Source Map 就是一个信息文件,里面存储了代码打包转换后的位置...
vite sourcemap 设置
09-19
Vite是一种现代化的前端构建工具。在进行项目开发时,我们通常都会对代码进行打包和压缩以提高性能。然而,在出现错误时,压缩后的代码可能会导致调试困难。这就是为什么Vite支持sourcemap设置的原因。 sourcemap是一种映射关系,它可以将压缩过的代码映射回原始的、未压缩的代码。通过使用sourcemap,我们可以在浏览器开发者工具中准确地显示出错的位置和源代码,从而更轻松地进行调试和定位bug。 在Vite中,我们可以通过设置sourcemap来指定生成sourcemap文件的类型。Vite支持三种sourcemap类型:inline、eval、和external。它们分别表示将sourcemap嵌入到源代码中、使用eval函数生成sourcemap、或者生成单独的sourcemap文件。 使用Vite设置sourcemap非常简单。只需要在vite.config.js配置文件中添加相关配置即可。例如,我们可以在vite.config.js中加入以下设置来启用sourcemap: ``` export default { build: { sourcemap: true } } ``` 这样一来,在构建项目时,Vite将会自动生成相应的sourcemap文件。我们可以在开发者工具中查看具体的错误位置和源码,以方便进行调试。 总的来说,通过Vite的sourcemap设置,我们可以轻松地进行前端项目的调试和bug定位,提高开发效率,减少出错的时间和精力消耗。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值