【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原

已于 2024-09-05 22:33:40 修改
阅读量6.6k 收藏 14
点赞数 26
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: 前端 web安全 webpack
于 2024-04-09 15:12:00 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137551896

前言

webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。

漏洞风险

通过泄露的前端源代码可以查找各种信息,如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者尝试未授权漏洞、拼接接口越权漏洞、查找源代码中关键字去GitHub查找程序源码进行代码审计。

寻找js.map

1、利用source-detector插件可以寻找程序中存在的js.map文件

插件的安装使用教程:【优快云秋说】几款配合Burpsuite使用的Google插件(Wappalyzer、FindSomething、FOFAproView等)

2、在网站JS文件中用关键词寻找js.map文件

3、处理Burp的HTTP历史请求时,不对js文件进行过滤,之后再全局搜索js.map

利用

如果使用的是source detector插件,则该插件可直接对js.map进行还原并保存。

如果不使用该插件,则需要手动进行逆向还原操作,使用的工具为reverse-sourcemap

1、

了解本专栏 订阅专栏 解锁全文 超级会员免费看
实战!Python 破解网站 JS 混淆(代码还原
2503_91057718的博客
11-12 1301
摘要:本文针对JS混淆技术在前端反爬中的应用,系统讲解4种常见混淆类型(变量混淆、控制流平坦化、字符串加密、自执行函数混淆)的识别与破解方法。通过实战案例演示如何利用浏览器调试工具和AST解析器还原混淆代码,最终通过Python调用还原后的JS逻辑生成关键请求参数。文中详细介绍了从代码格式化、字符串解密到控制流还原的全过程,并提供了工具链配置和Python集成方案,为开发者应对JS混淆反爬机制提供完整解决方案。
Vue打包Webpack源码及物理路径泄漏问题解决
爱米酱的博客
01-30 1954
找到vue.config.js文件,在其中增加配置。
【渗透测试】Webpack源码泄露js.map泄露
网络安全从业者的学习笔记
07-10 5851
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
Webpack源码泄露到Vue快速入门
记录开发和安全学习过程中的点点滴滴
05-23 3679
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
WEBPACK打包器的使用 && 打包器的安全问题(源码泄露) && 还原
2301_81155391的博客
02-25 1002
webpack是一个可以把多个前端页面进行打包的工具 他其实也是node js的延伸 可以进行打包node.js文件
渗透测试之webpack源码泄露
weixin_46072207的博客
07-24 2306
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
webpack 源码泄露
热门推荐
LuckySec
12-03 2万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
webpack打包站点 | JS文件路径批量获取思路
2301_80127209的博客
05-24 968
因为在使用webpack对应用程序进行打包的时候,会在js同目录下生成相应的js.map文件.map文件可以理解为网站地图,通过.map文件可以还原源代码,如果在生产环境下,使用wabpack打包后没有及时清理.map文件,可能会导致源代码泄露,从而暴露敏感接口,或者在源代码中的秘钥信息等。此时我们先找到比较明显的js拼接路径的特征代码,(一般是/static/js/+xxx),可以看到,/static/js/路径后面拼接了一个e变量,而这个变量是以形参传入的,因此如果去翻文件找的话是不太现实的。
利用shuji还原webpack打包源码
乌云毕力格博客
12-28 731
Webpack是一个用于构建现代 Web 应用程序的静态模块打包工具。它是一个高度可配置的工具,通过将应用程序的所有资源(例如JavaScript、CSS、图片等)视为模块,并使用依赖关系来管理它们之间的引用,将它们打包成一个或多个最终的静态资源文件。大家可以看我之前有一篇webpack接口泄露的edu挖掘文章。
webpack代码泄露漏洞研究
weixin_44023460的博客
09-15 2139
Webpack的核心运行时代码位于node_modules/webpack/lib目录下,攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据,例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具,可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。
前端项目中Sentry集成SourceMap实现错误定位
值得注意的是,出于安全考虑,不应将SourceMap随静态资源一同部署到公网,否则可能导致源码泄露。理想做法是仅在构建阶段将其上传至Sentry这类受控平台,并在部署包中排除.map文件。同时,企业级项目还可结合私有...
.js.map文件泄露/Springboot信息泄露
qq_68163788的博客
07-02 3889
.js.map文件泄露/Springboot信息泄露是一种常见的安全漏洞,可能导致敏感信息泄露.js.map文件通常用于调试JavaScript代码,包含了源代码和调试信息。如果这些文件未经适当保护而被暴露在公共网络上,攻击者可以通过查看这些文件来获取关键代码、URL和其他敏感信息。 与此同时,Spring Boot是一个流行的Java应用程序框架,但在错误配置的情况下,可能会导致敏感信息的泄露。例如,如果开发人员在应用程序中使用了默认的配置而没有适当地对其进行安全性检查和配置,可能会导致敏感信息。
Webpack前端源码泄露漏洞
网安君的博客
03-16 2万+
什么是Webpackwebpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
Webpack源码泄露及解决办法
呆萌小菜鸟的博客
05-19 1300
测试是否泄露打开网站开调试,在network中这个app.xxx.js的链接在后面加上.map会下载下来一个.map文件源码泄露了解决办法一、禁用Source Map生成Webpack默认生成的.map二、代码混淆与压缩。
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 729
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Webpack源码泄露
渗透之路,攻防之间皆学问
07-20 1万+
目录 描述 危害 修复 描述 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。 可以直接使用浏览器的调试模式进行查看,如下 vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。什么是vue了?Vue.js(/vjuː/,或简称为Vue)是一个用于创建用...
【漏洞挖掘】——49、 Webpack源代码泄露
Fly_鹏程万里
06-07 882
基本介绍Webpack是一个开源的前端代码打包工具,它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度,Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具,可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括:模块化规范:支持CommonJS、AMD、ES6等多种模块化规范。
前端Vue项目webpack打包部署后源码泄露解决
MCCLS的博客
06-25 3623
前端Vue项目webpack打包部署后源代码泄露解决
解决Vue2官网Webpack源码泄露漏洞
最新发布
如果相遇,那么你好哦~
06-19 1838
Webpack源码泄露风险及解决方案 摘要:Webpack打包的Vue等项目若配置不当,可能导致源码泄露,暴露API、加密算法等敏感信息。主要风险来自.js.map源映射文件,可通过浏览器查看源代码获取。解决方案包括:1)在vue.config.jswebpack.prod.js中关闭源映射生成;2)删除已存在的.map文件;3)在Nginx/Apache配置中禁止访问.map文件;4)更新部署流程排除源映射文件;5)验证修复效果。建议同时使用最新稳定版本Webpack、将.map文件加入.gitigno
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值