前端js.map文件泄露

最新推荐文章于 2024-07-10 10:27:27 发布
最新推荐文章于 2024-07-10 10:27:27 发布
阅读量2.1k 收藏 5
点赞数 2
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60965776/article/details/134509157
版权

漏洞原理:

在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map
简单说,Source map就是一个信息文件,里面储存着位置信息。转换后的代码的每一个位置,所对应的转换前的位置。一般这种文件和min.js主文件放在同一个目录下。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。

监测工具:

chrome插件source detecotor
SourceDetector/app at master · SunHuawei/SourceDetector · GitHub

漏洞风险
攻击者可以通过泄露的前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。

漏洞利用:

下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap

安装reverse-sourcemap

winget install node.js
npm install --global reverse-sourcemap
使用reverse-sourcemap还原代码

reverse-sourcemap -o aaa  -v XXXX.js.map
-o:还原后的目录,-v:需要还原的文件

同目录就会生成一个导出目录,里面就是js.map的详细文件

windows下把js.map文件和还原目录放在一个路径下,cmd先进入路径进输入上面的命令进行还原

修复建议

1.在项目路径下修改config/index.js中build对象productionSourceMap: false;
2.建议删除或禁止访问正式环境中的js.map文件

安全喵
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端js 文件下载
qq_37672347的博客
04-09 5886
1、使用a 标签(浏览器中可以, 在app中不行没有反应) <a href="http://192.168.0.248:8896/upfiles/gzg.xlsx" download target="_blank" rel="noopener noreferrer">下载测试 xlsx</a> 2、使用iframe(浏览器中可以, 在app中不行,没有反应) <bu...
前端面试zhidao js
09-02
前端面试zhidao js
【渗透测试】Webpack源码泄露js.map泄露
最新发布
网络安全从业者的学习笔记
07-10 652
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原_webpack还原代码sourcemap
2401_84973153的博客
05-13 857
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 337
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
等风来
04-09 2875
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件
xwf source detecotor-crx插件
03-10
Chrome extension,用于发现源码文件(*.map) 支持语言:English
记一次Vue源码泄露
weixin_44820552的博客
03-30 5604
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 6896
【渗透思路】框架敏感信息泄露
前端源码泄露
lyink001的博客
12-16 3012
攻击者可以通过泄露前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
记录一次发现Webpack源码泄露js.map泄露)过程
qq_41760817的博客
12-13 5766
记录发现webpack源代码泄露的复现,js.map文件泄露
js.map文件
m0_67403073的博客
04-19 6171
什么是source map文件 source map文件js文件压缩后,文件的变量名替换对应、变量所在位置等元信息数据文件,一般这种文件和min.js文件放在同一个目录下。 比如压缩后原变量是map,压缩后通过变量替换规则可能会被替换成a,这时source map文件会记录下这个mapping的信息,这样的好处就是说,在调试的时候,如果有一些JS报错,那么浏览器会通过解析这个map文件来重新merge压缩后的js,使开发者可以用未压缩前的代码来调试,这样会给我们带来很大的方便! 而这种还原性调试功能,所
sourcemap文件泄露漏洞
u011975363的专栏
07-09 1万+
sourcemap信息泄露
挖洞思路:前端源码泄露漏洞并用source map文件还原
热门推荐
白帽子九一
04-18 1万+
一、找到含.mapjs页面 进入到一个*.js的页面查看源码: 选一个点进去拉到最下面: 后缀加上.map访问https://xxx.js.map 会直接下载app.91c9e19843b6a38f9ff5.js.map 二、source map文件还原 reverse-sourcemap 这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。 全局安装 npm install --global reverse-sourcemap 然后( -o 后面跟的是还原后的目录) reverse-so
通过.js.map文件反编译 获取前端源码
zzzhumengfan的博客
09-06 4226
前端反编译
JS敏感信息泄露:不容忽视的WEB漏洞
weixin_50464560的博客
08-13 3702
一、前言 一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 二、漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言(如ASP、PHP)以及编译型语言(如C
xxxxx.js.map前端代码泄露
吃个榴莲压压鲸的博客
04-24 6595
背景 目前前端部署的代码一般都是经过webpack压缩的,压缩的目的一般如下: 移除无用代码 混淆代码中变量名称、函数名称等 对结构进行扁平化处理 Sourcemap作用 SourceMap在其中扮演了一个十分重要的角色,用来作为源代码和编译代码之间的映射,方便开发定位问题。 一般在压缩 js 的过程中,会生成相应的 sourcemap 文件,并且在压缩的 js 文件末尾追加 sourcemap 文件的链接 ,如://# sourceMappingURL=xxxx.js.map。这样,浏览器在加载
去除.map文件
公z号:职场爱学习
06-18 3264
.map文件作用在于:项目打包后,代码都是经过压缩加密的,如果运行时报错,输出的错误信息无法准确得知是哪里的代码报错。而.map文件就可以像未加密的代码一样,准确的输出是哪一行哪一列有错。 去除掉的原因:打包过后.map文件过大,为了减轻项目的大小。 去除.map的好处是: (1)提升 build速度, (2)深度保护源码(不轻易被恶意盗取代码) –修改config/index.js文件,默认为true productionSourceMap: false ...
.js .js.map
01-11
.js和.js.mapJavaScript文件JavaScript源地图文件的扩展名。 .js文件JavaScript代码文件,它包含了JavaScript程序的实际代码。这些文件通常用于在网页上执行JavaScript脚本。 .js.map文件JavaScript源地图文件,它是一个用于调试的辅助文件。它包含了JavaScript代码文件和源代码之间的映射关系。通过源地图文件开发人员可以在调试过程中将压缩后的JavaScript代码映射回原始的、易于阅读的源代码,从而更容易地进行调试和定位错误。 源地图文件通常与压缩后的JavaScript文件一起使用。压缩后的JavaScript文件通常会将变量名和函数名缩短为无意义的字符,以减小文件大小。但这样会导致调试困难,因为无法直接从压缩后的代码中找到对应的源代码位置。通过使用源地图文件开发人员可以在调试器中查看原始的源代码,从而更容易地进行调试。 总结起来,.js文件是包含JavaScript代码的文件,而.js.map文件是用于调试的源地图文件,它可以将压缩后的JavaScript代码映射回原始的源代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值