记一次Vue源码泄露

本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。

Vue源码泄露

0x01 漏洞简介

Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露。

0x02 如何发现js.map

1.使用目录扫描工具,例如URLFinder,Dirsearch扫描目标网站,获得js文件(甚至可直接扫描出js.map文件)
请添加图片描述

2.访问网站的js文件,在其后面添加.map,如有泄露即可下载该js.map文件

请添加图片描述

0x03 漏洞利用

1.安装reverse-sourcemap

npm install --global reverse-sourcemap

2.检查安装是否成功

请添加图片描述

3.反编译js.map文件

reverse-sourcemap --output-dir . index.775ebd42c6d0a798a0a2.js.map

参数解释:
--output-dir .  结果输出到当前目录的webpack文件夹

请添加图片描述

请添加图片描述

0x04 漏洞修复

1.在项目路径下修改config/index.js中build对象productionSourceMap: false;

2.建议删除或禁止访问正式环境中的js.map文件;

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值