Sourcemap安全问题

最新推荐文章于 2024-08-01 14:29:45 发布
最新推荐文章于 2024-08-01 14:29:45 发布
阅读量6k 收藏 4
点赞数 1
分类专栏: 渗透测试 文章标签: javascript 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/104334452
版权

背景

目前前端部署的代码一般都是经过webpack压缩的,压缩的目的一般如下:

  • 移除无用代码
  • 混淆代码中变量名称、函数名称等
  • 对结构进行扁平化处理

Sourcemap作用

SourceMap在其中扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便开发定位问题。
一般在压缩 js 的过程中,会生成相应的 sourcemap 文件,并且在压缩的 js 文件末尾追加 sourcemap 文件的链接 ,如://# sourceMappingURL=xxxx.js.map。这样,浏览器在加载这个压缩 过的js 时,就知道还有一个相应的 sourcemap 文件,也会一起加载下来,运行的过程中如果 js 报错,也会给出相应源代码的行号与列号,而非压缩文件的。

  • 未加 sourcemap 文件时的报错信息:
    在这里插入图片描述
  • 加 了sourcemap 文件的报错信息是:
    在这里插入图片描述

Sourcemap带来的安全问题

其实Sourcemap初衷是方便开发排错,但是不应该用在生产环境,如果用在生产环境,就可以通过sourcemap文件中的映射,还原出前端完整代码。

  1. 首先安装reverse-sourcemap:
    在这里插入图片描述2. 之后通过命令reverse-sourcemap -v 1.js.map -o code还原前端代码,发现报错,看报错原因就知道又是换行符的问题:
    PS:由于历史原因,Linux下换行符为\n,Windows下换行符为\r\n,因此如果Linux下文件行尾以\r\n结尾,原本属于换行符的\r也被认为是文件正常内容的一部分,从而导致出错。
    在这里插入图片描述
  2. 使用which命令看下reverse-sourcemap的具体路径,再使用vi /usr/local/bin/reverse-sourcemap命令,vi打开后,输入:set ff查看文件格式果然为dos格式:
    在这里插入图片描述
  3. vi中输入::set ff=unix,将文件格式转为unix格式,之后保存退出,输入reverse-sourcemap -v 1.js.map -o code将代码还原:
    在这里插入图片描述
ATpiu
关注
专栏目录
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息
weixin_33896726的博客
11-12 1875
细说 js 压缩、sourcemap、通过 sourcemap 查找原始报错信息 1. js 压缩 js 压缩对前端开发者来说是一门必修课。 一般来说,压缩 js 主要出于以下两个目的: 减小代码体积,加快前端资源加载速度 保护源代码不被别人获取 压缩 js 使用的工具库: UglifyJS2: 压缩 es5 uglify-e...
SourceMap安全
Fly_鹏程万里
08-18 5991
前言 由于现在构建工具盛行,前端部署的代码都是经过编译,压缩后的,所以SoueceMap就扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便定位问题SourceMap关闭与开放问题 虽然map文件提供了便利,但是在生产环境,为了安全,是建议关闭SourceMap的,因为通过.map文件和编译后代码可以很容易反编译出项目的源码,这样就相当于泄露了项目的代码。下面做个测试...
Vue反编译dist包到源码
油墨香^-^的博客
08-01 707
1.首先需要在管理员模式下打开cmd2.找到需要编译的dist/static/js的目录下 执行完成后在该目录会看到目录下存在下面的文件名:0.7ab7d1434ffcc747c1ca.js.map,这里以0.7ab7d1434ffcc747c1ca.js.map为例,如下图:3.全局安装reverse-sourcemap资源npm install --global reverse-sourcemap4.反编译 执行:reverse-sourcemap --output-dir source
前端安全问题记录
zcy_csdn123的博客
12-27 2108
1、浏览器中可以看到源码问题 可以在coonfig中配置productionSourceMap:false 2、cookie设置问题 由后端设置,此时浏览器里查看 HTTPOnly 会出现对号 这样无法用JS获取cookie
sourcemap 代码泄露漏洞
小雨的博客
08-21 1899
source map 漏洞和修复
sourcemap文件泄露漏洞
热门推荐
u011975363的专栏
07-09 1万+
sourcemap信息泄露
sourcemap-stack
05-17
sourcemap-stack 参数定义 参数属性 说明 mapUrl sourcemap 地址链接,如果不填,表示sourcemap地址跟实际js路径一样 mapName 参考webpack的地址格式,比如:[name].[hash].js.map mapEncrypt 如果map文件放到跟js同...
jQuery3.3.1包含压缩前后以及Source Map
04-27
Source Map文件就是用来解决这个问题的,它记录了压缩代码与原始源代码的映射关系。当浏览器加载带有Source Map的压缩文件时,开发者工具能够将错误信息或断点映射回未压缩的源文件,从而在压缩代码上实现有效的调试...
sourcemap2.zip
08-19
【标题】"sourcemap2.zip"是一个包含微信小程序代码的压缩文件,该小程序名为“自制天气预报小程序”,已成功发布并可供用户在微信平台上通过搜索功能直接使用。这个项目利用了百度地图的API来获取和展示天气预报...
浅谈webpack devtool里的7种SourceMap模式
10-17
而生产环境可能更倾向于使用source-map或hidden-source-map来确保SourceMap文件的安全性和不暴露给最终用户。 此外,Webpack还支持将这些模式的关键字组合起来,如cheap-module-inline-source-map,这种组合模式会...
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
Source Map在前端监控中的应用和实践
爱奇艺技术产品团队
10-15 352
‍‍‍‍Web前端开发中,对于生产环境的代码通常会进行压缩和混淆处理,以减小代码体积并提高源代码安全性。然而当生产环境有JS错误发生时,压缩和混淆的代码也让定位错误变得更困难。我们先来看一...
【漏洞挖掘】sourcemap、webpck源码泄露漏洞_sourcemap 文件泄露漏洞
2401_84688608的博客
05-12 892
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列,2024年最新vue总结来了
2401_84545016的博客
05-05 1065
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作。
转载:挖洞思路:前端源码泄露漏洞并用source map文件还原
HRay's blog
01-21 2347
大部分Vue应用会使用webpack进行打包,如果没有正确配置,就会导致Vue源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
解决Webpack Sourcemap 信息泄露漏洞
dongbc0812的博客
06-18 762
前情提要:项目发布现场上线之后,扫描出一个Webpack Sourcemap信息泄露漏洞,网上搜索的方法都是需要修改webpack的配置文件,但是项目比较简单,是直接使用npm run build 来执行构建打包并没有webpack.config文件。
【漏洞挖掘】sourcemap、webpck源码泄露漏洞
tyty2211的博客
11-20 4759
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
webpack sourceMap 没有成功
最新发布
09-25
Webpack在构建过程中通常会创建Source Maps[^1],这是一种映射机制,用于调试时将编译后的代码(通常是.min.js这样的生产环境版本)与源代码关联起来。然而,当Source Map文件未妥善管理时,可能会导致安全风险,比如暴露敏感信息。 如果你遇到Webpack Source Map未能成功关联的情况,可能原因有: 1. **配置错误**:确保Webpack配置正确,是否启用了source map生成,以及输出路径设置正确。检查webpack.config.js中的output.sourceMap属性设置。 ```javascript module.exports = { // ... output: { filename: '[name].[chunkhash].js', path: path.resolve(__dirname, 'dist'), sourceMap: true, // 或者你想启用的source map类型,如 'inline-source-map' 或 'file' }, // ... }; ``` 2. **浏览器支持**:某些旧版浏览器不支持自动加载Source Map,需手动添加`<script>`标签来引入.map文件。 ```html <script src="app.js" integrity="sha384-/..." crossorigin="anonymous"></script> <script async src="app.js.map" integrity="sha384-/..."></script> ``` 3. **文件权限**:确保打包后的.js.map文件可访问,避免服务器防火墙限制或目录权限问题。 4. **泄露检测**:若怀疑存在泄露,使用反向Source Map工具(如reverse-sourcemap)检查是否存在异常。 ```bash reverse-sourcemap your-built-file.js > source-code.txt ``` 如果上述排查后还是无法成功关联,可能是Webpack配置存在问题或网络/文件系统问题,建议检查相关的日志和错误信息以获取更准确的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值