渗透测试之webpack源码泄露

于 2024-07-24 22:25:02 发布
阅读量166 收藏 1
点赞数 7
分类专栏: 渗透测试 vue框架 web安全 文章标签: webpack 前端 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46072207/article/details/140672894
版权

渗透测试之webpack源码泄露

一、漏洞简介

Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露。

二、安装nodejs环境

1、使用node-v查看是否安装成功,显示的是 Node.js 的版本
在这里插入图片描述
2、npm -v 显示的是 npm 的版本,这个命令用来显示你当前系统上安装的 Node Package Manager (npm) 的版本。npm 是 Node.js 的默认包管理器,用于安装和管理 Node.js 应用程序的依赖项。
在这里插入图片描述

三、 漏洞利用

1、安装reverse-sourcemap
使用npm install --global reverse-sourcemap命令进行安装
在这里插入图片描述
2、reverse-sourcemap -v worker.js.map -o output进行反编译,尝试还原源代码
在这里插入图片描述
3、这里发现生成的文件为空,哈哈哈 因为这个文件是本地随便找的js.map,应该不是属于vue打包的webpack。

在这里插入图片描述

tips:

正常在渗透测试中,如果能在前端webpack中找到js.map打开能够访问下载,或者.js文件添加.map后缀能够访问即可按照上述步骤进行反编译还原源代码。

在这里插入图片描述

四、漏洞修复

1.在项目路径下修改config/index.js中build对象productionSourceMap: false。

2.建议删除或禁止访问正式环境中的js.map文件。

纯雁
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2764
Webpack Sourcemap文件泄露漏洞
漏洞挖掘】——49、 Webpack源代码泄露
Fly_鹏程万里
06-07 127
基本介绍Webpack是一个开源的前端代码打包工具,它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度,Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具,可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括:模块化规范:支持CommonJS、AMD、ES6等多种模块化规范。
渗透测试Webpack源码泄露(js.map泄露
最新发布
网络安全从业者的学习笔记
07-10 1209
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
webpack 源码泄露
LuckySec
12-03 1万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
Webpack前端源码泄露漏洞
热门推荐
网安君的博客
03-16 2万+
什么是Webpackwebpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
webpack代码泄露漏洞研究
weixin_44023460的博客
09-15 1511
Webpack的核心运行时代码位于node_modules/webpack/lib目录下,攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据,例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞
警惕 webpack 这个打包陷阱。。
程序员成长指北
01-07 167
说起前端工程师进阶,Webpack 是一个绕不开的话题。Webpack之于前端,正如同 gcc/g++ 之于 C/C++。不论你用 React、Vue 还是 Angular,撸出来的源代码...
记录一次发现Webpack源码泄露(js.map泄露)过程
qq_41760817的博客
12-13 6157
记录发现webpack源代码泄露的复现,js.map文件泄露
漏洞挖掘】sourcemap、webpck源码泄露漏洞
tyty2211的博客
11-20 4661
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
webpack源码之loader机制详解
01-19
loader 用于对模块的源代码进行转换。loader 可以使你在 import 或”加载”模块时预处理文件。因此,loader 类似于其他构建工具中“任务(task)”,并提供了处理前端构建步骤的强大方法。loader 可以将文件从不同的...
渗透Webpack等站点_从此更加优雅.pdf
08-11
前端打包器是把双刃剑 对开发者来说太便捷了 对黑客也“太便捷”了 开源项目介绍 某Hub: Packer Fuzzer 扫描器 对应站点JS文件提取 主要JS文件的提取及过滤 对异步JS进行处理及爆破 API及其参数批量提取 ...
js 逆向实战之webpack 改写
01-12
Webpack 改写是指对 Webpack 的源代码进行修改和扩展,以满足特定的需求或实现特定的功能。通过对 Webpack 的改写,我们可以实现自定义的插件、加载器和其他功能。 模块加载器 模块加载器是 Webpack 的一个核心...
webpack5配置之vue3
12-14
基于webpack5构建的vue3项目,可用来学习webpack5的常用配置,和常见优化。https://webpack.docschina.org/plugins/image-minimizer-webpack-plugin/#root。 基于webpack5构建的vue3项目,可用来学习webpack5的常用...
【网络安全】WebPack源码前端源码泄露 + jsmap文件还原_webpack还原代码sourcemap(1)
2401_84973131的博客
05-13 556
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[ 基础漏洞篇 ] webpack 前端源码泄露详解
qq_51577576的博客
08-04 6034
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!目录🍬 博主介绍一、webpack 介绍1. 什么是 webpack?2. webpack 的主要功能是什么?3. webpack 使用不当能造成什么样的危害?二、webpack 前端源码泄露挖掘1. 手工挖掘1. 查找使用webpack的网页2. 下载源码。...
发现Webpack泄露的api
weixin_50464560的博客
08-25 2401
1 - 安装 reverse-sourcemap 需要配置好npm环境 (runoob教程) 使用命令(需要代理) npm install --global reverse-sourcemap 进行安装 2 - 寻找xxx.js.map 如果有sourcemap的话,在js最后会有注释: //# sourceMappingURL=xxxxxxx.js.map 比如这里我要下载MarketSearch.js.map(MarketSearch.js是与站点同名的js,应该是...
那些webpack你不得不知的坑
NoManCodes的博客
04-13 396
对于刚开始接触node的人来说,最烦的莫过于输入的命令行无法被终端识别执行,一般来说都是path配置有问题。如果我们直接在终端环境输入webpack命令行出现无法识别的情况的话,我们可以通过设置npm快捷方式来运行。**直接输入webpack命令行,node会去找系统配置下的webpack。而配置npm的快捷方式,则会在当前项目下找webpack这个包。**而对于一个项目来说,我们下载的包都是开发...
【网络安全】WebPack源码前端源码泄露 + jsmap文件还原
等风来
04-09 3087
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。
webpack源码泄露
08-21
webpack源码泄露是指在某些情况下,webpack项目的源代码可能会被泄露出去。当项目的源代码泄露时,攻击者可以获得包括API、加密算法、管理员邮箱和内部功能等敏感信息。 在浏览器控制台中,可以通过访问Sources -> Page -> webpack://来查看webpack项目的源代码。然而,并不是所有情况下都可以直接在浏览器控制台中查看到webpack项目源码。 如果无法直接在浏览器控制台中查看到源代码,但网站上存在js.map文件,我们可以通过一些工具如reverse-sourcemap来还原webpack项目的源码。这些工具可以解析js.map文件中的内容,从而恢复出webpack项目的源代码。 为了避免webpack源码泄露,开发者应该正确配置webpack以确保源代码的安全性。同时,定期进行漏洞检测是非常重要的,以便及时发现和修复可能存在的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值