.js.map文件泄露/Springboot信息泄露

已于 2024-07-02 08:47:53 修改
阅读量1.5k 收藏 21
点赞数 30
分类专栏: 安全 信息泄露 文章标签: spring boot 后端 java
于 2024-07-02 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/140067715
版权

目录

框架识别

Webpack

简述

.js.map文件泄露

利用

Spring boot

 

很多网站都使用的是现有的框架进行开发的,因此相当于很多目录和文件的路径都是开源可知的,因此我们就可以直接访问对应的路径,如果网站没有进行限制就有可能会导致敏感信息泄露

框架识别

可以根据页面的报错信息/icon

例如:Springboot:

报错页面:

5ab98561b3594720bff331e1717762bd.png

icon:

2c9339ba61df45c595b619aa6428838b.png

可以使用Wappalyzer插件

例如:Springboot

53e86d5bb3f44a5fb47940cad1a47d46.png

Webpack

简述

Webpack是一个JavaScript应用程序的静态资源打包器,它会递归构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。

大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等。

project_name
|—— src
|    |—— index.js
|    |—— App.vue 
|—— index.html
|—— package.json 
|—— webpack.config.js
|—— babel.config.js

 

使用webpack打包应用程序会在网站js同目录下生成 js.map文件

.js.map文件泄露

 

可以在浏览器控制台中的Sources------> Page------> webpack://中查看源代码(js同目录下会生成 js.map文件)

e87a43f5a3184b09a2f0c53f3013cc13.png

利用

我们可以利用reverse-sourcemap工具来还原源代码

安装:

npm install --global reverse-sourcemap

将js.map文件下载到本地,使用reverse-sourcemap对js.map文件进行还原操作

reverse-sourcemap --output-dir ./  xxxx.js.map

还原后我们就可以得到网站源码,下面就可以进行代码审计了

Spring boot

1、Spring boot是 Spring 的一套快速配置脚手架,可基于Spring boot 快速开发单个微服务(其特点决定了功能模块分布式部署,在不同的机器上相互通过服务调用进行交互,业务流会经过多个微服务的处理和传递)

2、微服务的监控:Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息(如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等)

3、安全隐患:Actuator配置不当或存在缺陷,可造成信息泄露等(如/heapdump作为Actuator组件最为危险的Web接口,如果Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件)

Spring Boot < 1.5: 默认未授权访问所有端点。

Spring Boot >= 1.5: 默认只允许访问/health/info端点,但是此安全性通常被应用程序开发人员禁用。

#每个端点的作用

官方文档有对它们展开详细的描述:

路径					描述					默认启用
auditevents	显示当前应用程序的审计事件信息	Yes
beans	显示一个应用中所有Spring Beans的完整列表	Yes
conditions	显示配置类和自动配置类(configuration and auto-configuration	classes)的状态及它们被应用或未被应用的原因
configprops	显示一个所有@ConfigurationProperties的集合列表	Yes
env	显示来自Spring的 ConfigurableEnvironment的属性	Yes
flyway	显示数据库迁移路径,如果有的话	Yes
health	显示应用的健康信息(当使用一个未认证连接访问时显示一个简单	的’status’,使用认证连接访问则显示全部信息详情)
info	显示任意的应用信息	Yes
liquibase	展示任何Liquibase数据库迁移路径,如果有的话	Yes
metrics	展示当前应用的metrics信息	Yes
mappings	显示一个所有@RequestMapping路径的集合列表	Yes
scheduledtasks	显示应用程序中的计划任务	Yes
sessions	允许从Spring会话支持的会话存储中检索和删除(retrieval and deletion)	用户会话。使用Spring Session对反应性Web应用程序的支持时不可用。
shutdown	允许应用以优雅的方式关闭(默认情况下不启用)	No
threaddump	执行一个线程dump	Yes
heapdump	返回一个GZip压缩的hprof堆dump文件	Yes
jolokia	通过HTTP暴露JMX beans(当Jolokia在类路径上时,WebFlux不可用)	Yes
logfile	返回日志文件内容(如果设置了logging.file或logging.path属性的话),支持使用HTTP Range头接收日志文件内容的部分信息	Yes
prometheus	以可以被Prometheus服务器抓取的格式显示metrics信息	Yes

例如:

93741e9926184f1bae73b97b31ea6969.png

访问/actuor/env可与看到环境变量信息,里面还有很多内网ip地址

1edae215f4c54525ae59408a87f90911.png

甚至有的还会泄露数据库的账户密码登敏感信息

访问/actuator/threaddump可以看到很多服务器的线程信息

fce1146de15f45d592cda3dc0c2dd401.png

访问/actuator/loggers可以看到日志级别信息:

988284971d914c05b2e680c265ec7993.png

访问/actuator/configprops可以查看配置文件中设置的属性内容,以及一些配置属性的默认值:

93b6f11fbfaf4d788dc838061c48dda1.png

访问/actuator/info李阿敏展示了关于应用的一般信息,这些信息从编译文件比如`META-INF/build-info.properties`或者git文件比如`git.properties`或者任何环境的`property`中获取:

5af6bd90356440e5b507c9460717ebb5.png

 

访问/actuator/health,health里面展示了简单的UP和DOWN状态:

9d3f4936ad1946ffbfef9fbf1aa43074.png

还有很多的接口我们可以访问,然后可以从中寻找敏感信息

参考文章:

【web渗透思路】框架敏感信息泄露(特点、目录、配置)_js.map文件泄露-CSDN博客

webpack 源码泄露_webpack漏洞-CSDN博客

 

未知百分百
关注
  • 30
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
等风来
04-09 3187
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件
popper.min.js.map
06-11
包含:popper.min.js.map、popper.min.js....其实可以直接输入网址<script src="https://cdn.staticfile.org/popper.js/1.15.0/umd/popper.min.js"></script> 中的网址另存为,或者直接复制网页代码另存为,map文件就是...
js.map文件
m0_67403073的博客
04-19 6294
什么是source map文件 source map文件js文件压缩后,文件的变量名替换对应、变量所在位置等元信息数据文件,一般这种文件和min.js文件放在同一个目录下。 比如压缩后原变量是map,压缩后通过变量替换规则可能会被替换成a,这时source map文件会记录下这个mapping的信息,这样的好处就是说,在调试的时候,如果有一些JS报错,那么浏览器会通过解析这个map文件来重新merge压缩后的js,使开发者可以用未压缩前的代码来调试,这样会给我们带来很大的方便! 而这种还原性调试功能,所
挖洞思路:前端源码泄露漏洞并用source map文件还原
热门推荐
白帽子九一
04-18 2万+
一、找到含.mapjs页面 进入到一个*.js的页面查看源码: 选一个点进去拉到最下面: 后缀加上.map访问https://xxx.js.map 会直接下载app.91c9e19843b6a38f9ff5.js.map 二、source map文件还原 reverse-sourcemap 这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。 全局安装 npm install --global reverse-sourcemap 然后( -o 后面跟的是还原后的目录) reverse-so
记一次Vue源码泄露
weixin_44820552的博客
03-30 5704
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
记录一次发现Webpack源码泄露js.map泄露)过程
最新发布
qq_41760817的博客
12-13 6379
记录发现webpack源代码泄露的复现,js.map文件泄露
前端js.map文件泄露
weixin_60965776的博客
11-20 2254
转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原的文件
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 6966
【渗透思路】框架敏感信息泄露
前端源码泄露
lyink001的博客
12-16 3177
攻击者可以通过泄露的前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
sourcemap文件泄露漏洞
u011975363的专栏
07-09 1万+
sourcemap信息泄露
通过.js.map文件反编译 获取前端源码
zzzhumengfan的博客
09-06 4332
前端反编译
bootstrap.min.css.map
05-12
源映射文件(Source Map)是开发者工具用来关联压缩后的CSS或JavaScript代码与其原始源代码的文件,它允许我们在压缩代码的环境下进行调试,查看未压缩前的代码结构和位置,这对于优化和修复代码来说极其有用。...
bootstrap.bundle.min.js.map
04-12
浏览器报错找不到这个的可以下载这个
ECharts使用的世界地图world.js
04-29
Echarts使用地图类型的组件时用到的js文件, 引入该文件可以使用ECharts Map,世界地图world.js
javascript/node.jsmap对象转json对象通用代码
03-31
mapjson
SpringBoot--基础--04--拦截器
zhou920786312的博客
01-13 296
SpringBoot–拦截器04 拦截器 实现HandlerInterceptor接口 注册拦截器 一、代码结构 MyMvcConfig //使用WebMvcConfigurerAdapter可以来扩展SpringMVC的功能 @Configuration public class MyMvcConfig extends WebMvcConfigurerAdapter { //注册拦截器 @Override public void addInterceptors(Intercepto
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
JS敏感信息泄露:不容忽视的WEB漏洞
weixin_50464560的博客
08-13 3954
一、前言 一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 二、漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言(如ASP、PHP)以及编译型语言(如C
4. 1. 用原生js获取http://172.16.15.125:8080/springboot/js中数据并计算出表格中最高工资的最大值、最小值、平均值、中位数、标准差
06-09
首先,我们可以使用 XMLHttpRequest 对象获取数据。具体代码如下: ```javascript const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://172.16.15.125:8080/springboot/js', true); xhr.onload = function() { if (xhr.status === 200) { const data = JSON.parse(xhr.responseText); console.log(data); // 在控制台输出获取的数据 // 计算最大值、最小值、平均值、中位数、标准差等指标 // ... } else { console.log('请求失败'); } }; xhr.send(); ``` 接下来,我们可以使用一些数学函数来计算指标,具体代码如下: ```javascript // 计算最大值、最小值、平均值、中位数、标准差等指标 const salaries = data.map(item => item.salary); // 获取所有工资值 const maxSalary = Math.max(...salaries); // 最高工资的最大值 const minSalary = Math.min(...salaries); // 最高工资的最小值 const avgSalary = salaries.reduce((sum, curr) => sum + curr) / salaries.length; // 最高工资的平均值 salaries.sort((a, b) => a - b); const mid = Math.floor(salaries.length / 2); const medianSalary = salaries.length % 2 === 0 ? (salaries[mid] + salaries[mid - 1]) / 2 : salaries[mid]; // 最高工资的中位数 const stdSalary = Math.sqrt(salaries.reduce((sum, curr) => sum + Math.pow(curr - avgSalary, 2)) / salaries.length); // 最高工资的标准差 console.log('最高工资的最大值:', maxSalary); console.log('最高工资的最小值:', minSalary); console.log('最高工资的平均值:', avgSalary); console.log('最高工资的中位数:', medianSalary); console.log('最高工资的标准差:', stdSalary); ``` 注意:在使用 XMLHttpRequest 对象获取数据时,需要注意跨域问题。如果你的前端代码和后端代码不在同一个域名下,需要在后端配置跨域访问权限。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值