[ 基础漏洞篇 ] webpack 前端源码泄露详解

最新推荐文章于 2024-05-23 23:21:47 发布
最新推荐文章于 2024-05-23 23:21:47 发布
阅读量5.9k 收藏 67
点赞数 62
分类专栏: 渗透测试自学篇 漏洞挖掘 入门到精通 轮播展示专栏 文章标签: 前端 webpack javascript web安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/125664651
版权

  🍬 博主介绍  

  • 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
  • ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
  • 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
  • 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
  • 🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

  🍬 博主介绍  

一、webpack 介绍

1. 什么是 webpack ?

2. webpack 的主要功能是什么?

3. webpack 使用不当能造成什么样的危害?

二、webpack 前端源码泄露挖掘

1. 手工挖掘

1. 查找使用webpack的网页

2. 下载源码

3. source map文件还原

2. 利用插件进行挖掘

三、webpack 前端源码泄露漏洞修复建议

一、webpack 介绍

1. 什么是 webpack ?

webpack 是代码编译工具,有入口、出口、loader 和插件。webpack 是一个用于现代javascript应用程序的静态模块打包工具。当 webpack 处理应用程序时,它会在内部构建一个依赖图(dependency graph),此依赖图对应映射到项目所需的每个模块,并生成一个或多个 bundle

简单来说:webpack就是一个打包器(bundl

了解本专栏 订阅专栏 解锁全文 超级会员免费看
_PowerShell
关注
  • 62
    点赞
  • 67
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 58
    评论
专栏目录
订阅专栏
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2531
Webpack Sourcemap文件泄露漏洞
【网络安全WebPack源码前端源码泄露 + jsmap文件还原
等风来
04-09 2286
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。
【网络安全WebPack源码前端源码泄露 + jsmap文件还原_webpack还原代码sourcemap
2401_84973153的博客
05-13 659
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Webpack源码泄露
热门推荐
good good study
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
记录某一天安服仔的漏洞挖掘过程
zhangge3663的博客
05-06 827
前言 作为一个拿着几 K 工资的安服仔,某一天上级给了一个网站需要挖挖洞。客户不愿意提供测试账号,通过其他位置拿到账号规则,然后进行爆破的时候把账号都锁了,因此还被投诉了。记录一下一天的漏洞挖掘过程,过程有点啰嗦。 干活 拿到目标,通常先扫一下端口 访问目录提示 404 三大搜索引擎和github都没找到相关网站的信息,这个时候只能先扫目录了。 发现net版本的ueditor,还以为能shell了,访问发现报错了,问了一下大佬说可能需要登录。看到了网站的绝对路径,二话不说先写个低危报告。
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 2999
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
webpack开始发现的漏洞大礼包
zkaqlaoniao的博客
01-22 229
信息收集贯穿渗透测试的全过程。
前端路由&webpack基础配置详解
10-16
主要介绍了前端路由&webpack基础配置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
WebPack基础知识详解
11-27
1、什么是Webpack WebPack可以看做是模块打包机:它做的事情是,分析你的项目结构,找到JavaScript模块以及其它的一些浏览器不能直接运行的拓展语言(Scss,TypeScript等),并将其打包为合适的格式以供浏览器使用。...
webpack源码之loader机制详解
01-19
因此,loader 类似于其他构建工具中“任务(task)”,并提供了处理前端构建步骤的强大方法。loader 可以将文件从不同的语言(如 TypeScript)转换为 JavaScript,或将内联图像转换为 data URL。loader 甚至允许你直接...
详解Web使用webpack构建前端项目
12-04
熟悉我的同学都知道, 之前我有使用Vue搭建了一个个人简历, 体验了一把最新的前端技术, 但之前我们使用的是vue-cli脚手架工具, 对于如何自己实现前端构建工具, 当下最为流行的就是webpack和gulp了, 之前一我们讲了...
VUE 项目发布到服务器——Webpack源码泄露
sunzq55的博客
12-01 3932
背景 正常通过 webpack 来打包 vue 项目,放到线上的项目是可以通过 F12 控制台的 source 来直接获取到前端项目源码,如图: 修复建议:在 config/index.js 中 build 下的 productionSourceMap: true, 改为 productionSourceMap: false 实际解决办法 在 vue-cli 中,关闭配置选项,如下图: 在配置文件vue.config.js中修改配置项productionSourceMap,如下: module
Vue打包Webpack源码及物理路径泄漏问题解决
爱米酱的博客
01-30 911
找到vue.config.js文件,在其中增加配置。
vue-cli webpack打包后还能看到源码?怎么改 如何避免源码泄露
skysys的研究小屋
04-08 5350
vue或者webpack框架打开sourceMap会显示未压缩的源代码,供方便调试,关闭后代码会因为发布时压缩成长长的一行,不容易被泄露问题解决方案
weixin_45852743的博客
11-16 728
Webpack 会为打包后的代码生成 Source Map 文件,以便在运行时可以调试源代码。然而,如果开发人员在生产环境中没有正确地配置 SourceMap,攻击者就可能获得敏感信息,例如源代码和服务器配置等。攻击者可以通过发送 HTTP 请求来获取 Source Map 文件,并从中获取敏感信息。
发现Webpack泄露的api
weixin_50464560的博客
08-25 2373
1 - 安装 reverse-sourcemap 需要配置好npm环境 (runoob教程) 使用命令(需要代理) npm install --global reverse-sourcemap 进行安装 2 - 寻找xxx.js.map 如果有sourcemap的话,在js最后会有注释: //# sourceMappingURL=xxxxxxx.js.map 比如这里我要下载MarketSearch.js.map(MarketSearch.js是与站点同名的js,应该是...
Webpack源码泄露到Vue快速入门
最新发布
weixin_72543266的博客
05-23 1318
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
转载:挖洞思路:前端源码泄露漏洞并用source map文件还原
HRay's blog
01-21 2094
大部分Vue应用会使用webpack进行打包,如果没有正确配置,就会导致Vue源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
网站安全整理总结
qq_53555672的博客
06-10 935
前端八股
webpack源码泄露
08-21
webpack源码泄露是指在某些情况下,webpack项目的源代码可能会被泄露出去。当项目的源代码泄露时,攻击者可以获得包括API、加密算法、管理员邮箱和内部功能等敏感信息。 在浏览器控制台中,可以通过访问Sources -> Page -> webpack://来查看webpack项目的源代码。然而,并不是所有情况下都可以直接在浏览器控制台中查看到webpack项目源码。 如果无法直接在浏览器控制台中查看到源代码,但网站上存在js.map文件,我们可以通过一些工具如reverse-sourcemap来还原webpack项目的源码。这些工具可以解析js.map文件中的内容,从而恢复出webpack项目的源代码。 为了避免webpack源码泄露,开发者应该正确配置webpack以确保源代码的安全性。同时,定期进行漏洞检测是非常重要的,以便及时发现和修复可能存在的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 58
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值