webpack信息泄露

已于 2023-03-14 17:21:13 修改
阅读量2.1k 收藏 2
点赞数 1
文章标签: webpack javascript 前端
于 2023-03-14 17:08:09 首次发布
原文链接:https://blog.csdn.net/weixin_44869002/article/details/105832031?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2~default~BlogCommendFromBaidu~Rate-1-105832031-blog-108317371.pc_relevant_vip_default&depth_1-utm_source=distrib
版权

漏洞概述

webpack是一个 JavaScript 应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等

测试方法

  • 手工/工具测试
    通过目录扫描工具扫描查看是否存在敏感路径;
    通过文件扫描工具扫描查看是否存在敏感文件;

测试过程

在这里插入图片描述

风险级别

中危

修复建议

1、可以直接在项目路径下修改config/index.js中build对象productionSourceMap: false

build:{
	productionSourceMap: false, // 默认都是true,将其置为false
}

2、建议删除或禁止访问正式环境中的js.map文件

扩展

什么是 source map?

在main.js 添加这样一条代码:console.log(‘test’)
请添加图片描述
打包:
没有开启 productionSourceMap 运行后浏览器控制台显示效果:请添加图片描述
开启productionSourceMap运行后浏览器控制台显示效果:
请添加图片描述
可以看出,开启productionSourceMap后,浏览器控制台明确的告诉我们test这条结果的输出语句在main.js的20行。这就是source map的作用,对于开发人员差错时非常有用的。

下面时开启/关闭productionSourceMap打包出来的项目文件对比:
未开启:
请添加图片描述
开启:
在这里插入图片描述
可以看出,开启productionSourceMap后,打包生成的 js 文件都有一个 .map 文件。这里要注意,只有 js 才有 .map 文件。

zhou小贝
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Webpack Sourcemap文件泄露漏洞
天天学安全专属博客
09-12 2645
Webpack Sourcemap文件泄露漏洞
【漏洞挖掘】——49、 Webpack源代码泄露
最新发布
Fly_鹏程万里
06-07 63
基本介绍Webpack是一个开源的前端代码打包工具,它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度,Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具,可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括:模块化规范:支持CommonJS、AMD、ES6等多种模块化规范。
一款针对Webpack前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
04-12
一款针对Webpack前端打包工具所构造的网站进行快速、高效安全检测的扫描工具 安全服务中是否遇到越来越多以`Webpack打包器`为代表的网站?这类打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。 本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。
Webpack源码泄露到Vue快速入门
weixin_72543266的博客
05-23 1589
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
等风来
04-09 2712
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。
webpack 源码泄露
热门推荐
LuckySec
12-03 1万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
记录一次发现Webpack源码泄露(js.map泄露)过程
qq_41760817的博客
12-13 5540
记录发现webpack源代码泄露的复现,js.map文件泄露
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 6864
【渗透思路】框架敏感信息泄露
前端Vue项目webpack打包部署后源码泄露解决
yan_danfeng的博客
02-02 7051
Vue项目,经Webpack打包部署到服务器后,访问并打开开发者模式,在Source下出现[name]路径,内部包含(webpack)buildin文件夹,因此漏洞检测中的源码泄露警告。
前端源码泄露
lyink001的博客
12-16 2971
攻击者可以通过泄露前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
浅谈webpack打包过程中因为图片的路径导致的问题
08-28
浅谈webpack打包过程中因为图片的路径导致的问题 在本文中,我们将讨论webpack打包过程中因为图片的路径导致的问题,并提供相应的解决方案。 1. 问题背景 在使用webpack打包时,我们可能会遇到图片路径的问题。...
Webpack 服务器端代码打包的示例代码
08-29
然而,在 Webpack 打包的项目中,这种方法会产生问题,例如所有的配置文件都会被打包进来,导致敏感信息泄露的风险。正确的做法是使用单独定义的变量来加载配置文件。 3. 模块化打包:在大型项目中,模块化打包可以...
webpack的SketchtoSVGJSONloader模块
08-10
此外,如果Sketch文件包含敏感信息,应确保加载器配置正确,避免数据泄露。 总之,`SketchtoSVGJSONLoader`是Webpack生态系统中的一个重要工具,它帮助开发者将设计工作和前端开发紧密集成,提高了协作效率,降低了...
prepack的一个webpack插件
08-10
本文将深入探讨“prepack的一个webpack插件”,并详细解析这个插件如何提升JavaScript应用的性能和优化构建过程。 首先,让我们了解基础概念。**Prepack** 是一个静态优化器,它旨在通过分析代码并生成等价但运行更...
webpack系列八---vue项目打包发布后源码泄露
hyduan_h5的博客
05-12 3091
在vue项目,打包后,默认会将源码打包上去,以至于用户可以在控制台查看到源代码,为了信息安全,也为了优化加载速度,需要配置相关属性;检查隐藏源码是否泄漏:打开控制台–查看sources/源代码tab–查看包文件,当有webpack文件时,这证明当前源码泄漏状态;当从控制台查看类似如下状态,则源码泄漏已解决;
vue或者webpack框架打开sourceMap会显示未压缩的源代码,供方便调试,关闭后代码会因为发布时压缩成长长的一行,不容易被泄露问题解决方案
weixin_45852743的博客
11-16 756
Webpack 会为打包后的代码生成 Source Map 文件,以便在运行时可以调试源代码。然而,如果开发人员在生产环境中没有正确地配置 SourceMap,攻击者就可能获得敏感信息,例如源代码和服务器配置等。攻击者可以通过发送 HTTP 请求来获取 Source Map 文件,并从中获取敏感信息
Vue打包Webpack源码及物理路径泄漏问题解决
爱米酱的博客
01-30 990
找到vue.config.js文件,在其中增加配置。
VUE 项目发布到服务器——Webpack源码泄露
sunzq55的博客
12-01 3958
背景 正常通过 webpack 来打包 vue 项目,放到线上的项目是可以通过 F12 控制台的 source 来直接获取到前端项目源码,如图: 修复建议:在 config/index.js 中 build 下的 productionSourceMap: true, 改为 productionSourceMap: false 实际解决办法 在 vue-cli 中,关闭配置选项,如下图: 在配置文件vue.config.js中修改配置项productionSourceMap,如下: module
webpack源码泄露
08-21
webpack源码泄露是指在某些情况下,webpack项目的源代码可能会被泄露出去。当项目的源代码泄露时,攻击者可以获得包括API、加密算法、管理员邮箱和内部功能等敏感信息。 在浏览器控制台中,可以通过访问Sources -> Page -> webpack://来查看webpack项目的源代码。然而,并不是所有情况下都可以直接在浏览器控制台中查看到webpack项目源码。 如果无法直接在浏览器控制台中查看到源代码,但网站上存在js.map文件,我们可以通过一些工具如reverse-sourcemap来还原webpack项目的源码。这些工具可以解析js.map文件中的内容,从而恢复出webpack项目的源代码。 为了避免webpack源码泄露,开发者应该正确配置webpack以确保源代码的安全性。同时,定期进行漏洞检测是非常重要的,以便及时发现和修复可能存在的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [webpack 源码泄露](https://blog.csdn.net/weixin_43571641/article/details/121689764)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值