Webpack Sourcemap文件泄露漏洞

最新推荐文章于 2024-06-18 15:59:51 发布
最新推荐文章于 2024-06-18 15:59:51 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: webpack 前端 node.js web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53568983/article/details/132823170
版权

Webpack Sourcemap文件泄露漏洞

前言

Webpack主要是用于前端框架进行打包的工具,打包后形成.js.map文件,如果.js.map文件没有删除,使用Sourcemap进行文件还原,就可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。

一、Webpack和Sourcemap

1.1 什么是Webpack

  1. Webpack 是一个现代化的 JavaScript 应用程序的静态模块打包器。它主要用于将多个 JavaScript 文件及其依赖打包成一个或多个静态资源,例如,可以将多个模块化的 JavaScript 文件打包成一个单独的 JavaScript 文件。

  2. Webpack 支持现代 JavaScript(包括 ES6 及以上版本)、CSS、图像等各种类型的资源,以及各种模块加载器和插件,可以通过配置文件进行高度的自定义和扩展。其核心功能包含模块化打包、代码拆分、加载器扩展、插件系统等。

  3. 使用 Webpack 可以帮助开发者优化应用程序的性能,例如,通过代码拆分可以减少首次加载时间,通过压缩和优化可以减小文件体积,提供多种方式自动和异步加载资源等。另外,Webpack 还支持 HMR(热模块替换)功能,可以在开发过程中实时更新应用程序,提高开发效率。

  4. Webpack 在现代前端开发中被广泛应用,是前端工程化的重要工具之一。它支持主流的前端框架和工具链,是构建复杂 JavaScript 应用的强大工具。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
安全天天学
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息
weixin_33896726的博客
11-12 1838
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息 1. js 压缩 js 压缩对前端开发者来说是一门必修课。 一般来说,压缩 js 主要出于以下两个目的: 减小代码体积,加快前端资源加载速度 保护源代码不被别人获取 压缩 js 使用的工具库: UglifyJS2: 压缩 es5 uglify-e...
2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列,2024年最新vue总结来了
2401_84545016的博客
05-05 1023
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作。
解决Webpack Sourcemap 信息泄露漏洞
最新发布
dongbc0812的博客
06-18 250
前情提要:项目发布现场上线之后,扫描出一个Webpack Sourcemap信息泄露漏洞,网上搜索的方法都是需要修改webpack的配置文件,但是项目比较简单,是直接使用npm run build 来执行构建打包并没有webpack.config文件
SourceMap 文件泄露漏洞
11-15 335
百度一下很多方案,待都说是confing/index.js 文件里配置 productionSourceMap: false;应该在vue.config.js里配置。但实际vue工程没有这个文件
sourcemap 代码泄露漏洞
小雨的博客
08-21 1772
source map 漏洞和修复
sourcemap文件泄露漏洞
热门推荐
u011975363的专栏
07-09 1万+
sourcemap信息泄露
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 3136
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
前端源码泄露
lyink001的博客
12-16 3046
攻击者可以通过泄露前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4159
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检出了漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描出了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
发现Webpack泄露的api
weixin_50464560的博客
08-25 2397
1 - 安装 reverse-sourcemap 需要配置好npm环境 (runoob教程) 使用命令(需要代理) npm install --global reverse-sourcemap 进行安装 2 - 寻找xxx.js.map 如果有sourcemap的话,在js最后会有注释: //# sourceMappingURL=xxxxxxx.js.map 比如这里我要下载MarketSearch.js.map(MarketSearch.js是与站点同名的js,应该是...
webpack将js打包后的map文件详解
11-26
类似于这样的map文件webpack自动生成 参数: devtool: ‘#eval-source-map’,//...以上这篇webpack将js打包后的map文件详解是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
浅谈webpack devtool里的7种SourceMap模式
10-17
主要介绍了浅谈webpack devtool里的7种SourceMap模式,主要介绍了这7种模式的使用和打包编译后的结果的不同,非常具有实用价值,有兴趣的可以了解一下
webpack配置文件.zip
04-15
自动构建vue脚手架的webpack配置文件,包括三个文件package.json、package-lock.json、webpack.config.js,使用说明在文件里面的webpack.config.js里面,
vscode 报错之 Could not read source map for file... 解决方案
04-18
vscode 报错之 Could not read source map for file... 解决方案
Webpack源码泄露
good good study
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
前端js.map文件泄露
weixin_60965776的博客
11-20 2162
转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原的文件
webpack开始发现的漏洞大礼包
zkaqlaoniao的博客
01-22 257
信息收集贯穿渗透测试的全过程。
VUE 项目发布到服务器——Webpack源码泄露
sunzq55的博客
12-01 3964
背景 正常通过 webpack 来打包 vue 项目,放到线上的项目是可以通过 F12 控制台的 source 来直接获取到前端项目源码,如图: 修复建议:在 config/index.js 中 build 下的 productionSourceMap: true, 改为 productionSourceMap: false 实际解决办法 在 vue-cli 中,关闭配置选项,如下图: 在配置文件vue.config.js中修改配置项productionSourceMap,如下: module
webpacksourceMap
05-13
webpacksourceMap是一种映射文件,它可以将打包后的代码映射回原始的源代码,方便我们进行调试和定位问题。在webpack的配置中,我们可以通过设置devtool选项来开启sourceMap。 常用的devtool选项包括: - source-map:生成完整的sourceMap文件,包含行列信息和源代码内容(会影响打包速度) - cheap-source-map:只生成行列信息和源代码文件名(不包含源代码内容,可以加快打包速度) - eval-source-map:将sourceMap作为Data URI嵌入到打包后的文件中,可以加快打包速度(不过会使打包后的文件变大) 我们可以根据实际情况选择合适的devtool选项来开启sourceMap,并在浏览器的控制台中查看映射后的源代码,方便进行调试和定位问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全天天学

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值