Webpack前端源码泄露漏洞

已于 2023-05-12 15:51:35 修改
阅读量2.2w 收藏 17
点赞数 9
分类专栏: 安全学习 文章标签: webpack 前端 node.js web安全 网络安全
于 2022-03-16 14:49:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45329947/article/details/123185176
版权

什么是Webpack?

webpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。

在这里插入图片描述

Webpack使用不当能造成什么样的危害?

如果可以获得程序的js代码,那么就可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。

如何查找使用Webpack的站点?

存在*.js.map文件

webpack目前支持很多种调试模式,每种模式的区别是编译后的代码和源码的映射方式不同,具体的体现是源码通过什么方式呈现,有的模式会生产一个.map文件,有的模式会通过注释,有的模式会使用DataUrl的方式。

模式类型
(none)不生成
eval每个module会封装到eval里包裹起来执行,并且会在末尾追加注释 //# sourceURL=webpack:///./src/index.js
source-map生成一个SourceMap文件.并在末尾添加注释
hidden-source-map和 source-map 一样,但不会在 bundle 末尾追加注释
inline-source-map生成一个DataUrl形式的 SourceMap 文件
eval-source-map每个module会通过eval()来执行,并且生成一个DataUrl形式的SourceMap
cheap-source-map生成一个没有列信息(column-mappings)的SourceMaps文件,不包含loader的sourcemap(譬如 babel 的 sourcemap)
cheap-module-source-map生成一个没有列信息(column-mappings)的SourceMaps文件,同时loader的sourcemap也被简化为只包含对应行的。
shuji工具还原前端代码
使用nmp安装
npm install --global shuji
在这里插入图片描述
使用命令
shuji app.js.map -o desfile
在这里插入图片描述
还原前文件
在这里插入图片描述
还原后文件
在这里插入图片描述
这样就可以愉快的分析一波js了。

浏览器调试模式

使用浏览器的调试模式进行查看,可以看到下图泄露了部分的接口,可以尝试对接口进行拼接FUZZ,有时候可以找到意想不到的漏洞。 需要注意的是,有些前端应用即使是通过Webpack打包的,但由于关闭了SourceMap,无法正常显示。
在这里插入图片描述

URL中带有#符号

这个如下图所示。
在这里插入图片描述

查看源代码&检索全部js文件

由于Webpack打包工具所生成的网站大部分会简化掉大量的HTML代码,采用js文件进行页面渲染,前端的所有内容都依赖于浏览器对JS文件的解析,所以查看首页源代码如果看到全是js文件,即可判断改站使用Webpack打包生成,如下图所示。

js首页

检索全部js文件,查找是否存在关键字.,Webpack所生成的每个js文件具体内容均以webpackJsonp开头。

SourceMap
在这里插入图片描述

webpackJsonp在这里插入图片描述

wappalyzer查看

如下图所示
在这里插入图片描述

网安君
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
前端webpack资料
08-27
内含前端webpack代码和笔记,涵盖webpack4以及最新的webpack5内容,内含webpack5超全学习指南/笔记
记录一次发现Webpack源码泄露(js.map泄露)过程
qq_41760817的博客
12-13 5062
记录发现webpack源代码泄露的复现,js.map文件泄露
漏洞挖掘】sourcemap、webpck源码泄露漏洞
tyty2211的博客
11-20 4476
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
Webpack源码泄露到Vue快速入门
最新发布
weixin_72543266的博客
05-23 1381
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
Webpack源码泄露
good good study
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
webpack 源码泄露
热门推荐
LuckySec
12-03 1万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
webpack代码泄露漏洞研究
weixin_44023460的博客
09-15 1345
Webpack的核心运行时代码位于node_modules/webpack/lib目录下,攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据,例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞
前端Vue项目webpack打包部署后源码泄露解决
yan_danfeng的博客
02-02 6961
Vue项目,经Webpack打包部署到服务器后,访问并打开开发者模式,在Source下出现[name]路径,内部包含(webpack)buildin文件夹,因此漏洞检测中的源码泄露警告。
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 3026
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2565
Webpack Sourcemap文件泄露漏洞
Web前端模块化开发教程(ES6+Node.js+Webpack)_源代码.zip
06-29
Web前端模块化开发教程(ES6+Node.js+Webpack)_源代码.zip
详解Web使用webpack构建前端项目
12-04
熟悉我的同学都知道, 之前我有使用Vue搭建了一个个人简历, 体验了一把最新的前端技术, 但之前我们使用的是vue-cli脚手架工具, 对于如何自己实现前端构建工具, 当下最为流行的就是webpack和gulp了, 之前一篇我们讲了...
使用 webpack 定制前端开发环境
03-28
使用 webpack 定制前端开发环境
webpack-multi-page:webpack前端多页项目工程
02-06
webpack-多页基于webpack v4的前端多页项目工程,适用于展示型站点,例如官网。特性支持ES6 +语法,使用babel编译,preen ; html支持语法,使用和编译,详细语法可查看 _.template函数部分。另外underscore-...
【问题解决】发现Web应用程序源代码泄露模式
zx1041561837的博客
10-26 884
前端项目代码中,目前可以使用插件UglifyJsPlugin混淆Js代码,该插件主要用于压缩JavaScript代码,它会删除空格、注释以及其他不必要的字符,从而减小文件大小,提高加载速度。该类问题指的是在服务器端,Web应用程序的开发者工具(Devtools)中的Sources面板中可以看到前端build构建之后的相关源代码,包括HTML、CSS和JavaScript。drop_debugger: true:当设置为 true 时,此选项会从代码中删除所有 debugger 语句。
webpack信息泄露
weixin_47949352的博客
03-14 2161
webpack是一个 JavaScript 应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等
网络安全WebPack源码前端源码泄露 + jsmap文件还原
等风来
04-09 2404
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。
webpack泄露漏洞
07-28
根据引用\[1\],如果没有正确配置webpack,可能会导致项目源码泄露,其中可能包含敏感信息如API、加密算法、管理员邮箱、内部功能等。这是因为webpack会将应用程序的每个模块打包成一个或多个bundle,如果这些bundle没有被正确地保护,攻击者可能可以通过查看网站的源代码或使用一些工具还原webpack项目源码来获取这些敏感信息。所以,确保正确配置webpack以保护项目源码是非常重要的。 #### 引用[.reference_title] - *1* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Webpack前端源码泄露漏洞](https://blog.csdn.net/weixin_45329947/article/details/123185176)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值