解决Webpack Sourcemap 信息泄露漏洞

最新推荐文章于 2025-07-21 15:55:02 发布

仲夏夜的猫ʚɞ

最新推荐文章于 2025-07-21 15:55:02 发布

阅读量1.3k

点赞数 2

CC 4.0 BY-SA版权

文章标签：前端

本文链接：https://blog.youkuaiyun.com/dongbc0812/article/details/139768631

前情提要：
项目发布现场上线之后，扫描出一个Webpack Sourcemap信息泄露漏洞，网上搜索的方法都是需要修改webpack的配置文件，但是项目比较简单，是直接使用npm run build 来执行构建打包并没有webpack.config文件

现象

在这里插入图片描述

解决方案

1.找到项目的vue.config.js文件
2.添加如下配置

module.exports = {
    productionSourceMap: false,
}

npm run build打包

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

仲夏夜的猫ʚɞ

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【网络安全】WebPack源码（前端源码）泄露 + jsmap文件还原

等风来

04-09

6257

webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图，其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包，使用webpack打包应用程序会在网站js同目录下生成 js.map文件。

【漏洞挖掘】——49、 Webpack源代码泄露

Fly_鹏程万里

06-07

717

基本介绍Webpack是一个开源的前端代码打包工具，它可以将多个JavaScript、CSS、图片等静态资源文件打包成一个或多个静态资源文件并通过模块化管理打包后的代码以提高前端应用程序的性能和加载速度，Webpack支持CommonJS、AMD、ES6等多种模块化规范并且提供了强大的插件机制和开发者工具，可以帮助开发者进行代码优化、压缩、混淆、实时重载等操作主要功能Webpack的主要功能包括：模块化规范：支持CommonJS、AMD、ES6等多种模块化规范。

参与评论您还未登录，请先登录后发表或查看评论

转载：前端泄露漏洞用source map文件还原

qwzx5678的专栏

10-21

383

SourceDetector是一个谷歌浏览器插件，此插件可以自动的判断网站是否存在js.map文件，并且能够利用该插件直接下载到js.map的Vue源码。原文链接：https://blog.youkuaiyun.com/qq_44930903/article/details/124257571。版权声明：本文为优快云博主「白帽子九一」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。后缀加上.map访问https://xxx.js.map。然后（ -o 后面跟的是还原后的目录）

解决Vue2官网Webpack源码泄露漏洞

如果相遇，那么你好哦~

06-19

1090

Webpack源码泄露风险及解决方案摘要：Webpack打包的Vue等项目若配置不当，可能导致源码泄露，暴露API、加密算法等敏感信息。主要风险来自.js.map源映射文件，可通过浏览器查看源代码获取。解决方案包括：1)在vue.config.js或webpack.prod.js中关闭源映射生成；2)删除已存在的.map文件；3)在Nginx/Apache配置中禁止访问.map文件；4)更新部署流程排除源映射文件；5)验证修复效果。建议同时使用最新稳定版本Webpack、将.map文件加入.gitigno

2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列，2024年最新vue总结来了

2401_84545016的博客

05-05

1165

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。注意上面的第一个index是模块，第二个index是方法，name是操作名，后面的是操作。

【漏洞挖掘】sourcemap、webpck源码泄露漏洞_sourcemap 文件泄露漏洞

2401_84688608的博客

05-12

1435

上述知识点，囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识，每个笔记里面几乎都带有实战内容。打个比方，假如你正在学习 spring 注解，突然发现了一个注解@Aspect，不知道干什么用的，你可能会去查看源码或者通过博客学习，花了半小时终于弄懂了，下次又看到@Aspect 了，你有点郁闷了，上次好像在哪哪哪学习，你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。

【渗透测试】Webpack源码泄露（js.map泄露）

网络安全从业者的学习笔记

07-10

4999

在Vue项目中使用Webpack时，如果未正确配置，会生成一个.map文件，它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码，从而可能导致敏感信息的泄露等风险

sourcemap文件泄露漏洞

qq_50854662的博客

04-12

5896

sourcemap文件泄露漏洞

webpack信息泄露

weixin_47949352的博客

03-14

2445

webpack是一个 JavaScript 应用程序的静态资源打包器（module bundler）。它会递归构建一个依赖关系图（dependency graph）,其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等

webpack代码泄露漏洞研究

weixin_44023460的博客

09-15

1925

Webpack的核心运行时代码位于node_modules/webpack/lib目录下，攻击者可以通过读取该目录下的代码来获取有关应用程序的敏感数据，例如加密密钥或访问令牌。攻击者可以读取配置文件获取这些敏感信息。Retire.js是用于检测JavaScript库和框架中存在的已知漏洞的工具，可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。Dependency-check是用于检测应用程序中依赖库漏洞的工具，可以扫描Webpack打包的应用程序中使用的依赖库是否存在已知的漏洞。

Webpack源码泄露到Vue快速入门

记录开发和安全学习过程中的点点滴滴

05-23

3456

刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。

Webpack源代码泄露漏洞

最新发布

m0_69043895的博客

07-21

Webpack作为主流前端构建工具，其SourceMap功能在生产环境配置不当会导致源代码泄露风险。攻击者可通过HTTP请求获取.map文件，利用Chrome插件或reverse-sourcemap工具还原源代码。本文详细介绍了漏洞利用方法，包括SourceDetector插件使用、Node环境搭建及.map文件反编译流程。防护建议：1)生产环境禁用devtool；2)Nginx配置限制.map文件访问权限为127.0.0.1。开发人员应重视构建安全，避免敏感信息通过构建产物泄露。

【漏洞挖掘】sourcemap、webpck源码泄露漏洞

tyty2211的博客

11-20

4990

访问官网，下载安装包，然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。

转载：挖洞思路：前端源码泄露漏洞并用source map文件还原

HRay's blog

01-21

2887

大部分Vue应用会使用webpack进行打包，如果没有正确配置，就会导致Vue源码泄露，可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。

前端Vue项目webpack打包部署后源码泄露解决

yan_danfeng的博客

02-02

8192

Vue项目，经Webpack打包部署到服务器后，访问并打开开发者模式，在Source下出现[name]路径，内部包含(webpack)buildin文件夹，因此漏洞检测中的源码泄露警告。

渗透测试之webpack源码泄露

weixin_46072207的博客

07-24

1839

Vue使用webpack(静态资源打包器)的时候，如果未进行正确配置，会产生一个js.map文件，而这个js.map可以通过工具来反编译还原Vue源代码，产生代码泄露。

【每天认识一个漏洞】sourcemap文件泄露漏洞

菜鸟小羊的博客

07-11

1026

F12控制台输入sms()如果存在会有提示，然后打开看能够下载下来，能下载下来的话，用nodejs进行反编译，然后可以分析里面接口挖别的漏洞，或者直接提交。油猴脚本sourcemap-searcher或burp hae插件。

sourcemap 代码泄露漏洞

小雨的博客

08-21

2264

source map 漏洞和修复

webpack sourceMap 没有成功

09-25

Webpack在构建过程中通常会创建Source Maps[^1]，这是一种映射机制，用于调试时将编译后的代码（通常是.min.js这样的生产环境版本）与源代码关联起来。然而，当Source Map文件未妥善管理时，可能会导致安全风险，比如暴露敏感信息。如果你遇到Webpack Source Map未能成功关联的情况，可能原因有： 1. **配置错误**：确保Webpack配置正确，是否启用了source map生成，以及输出路径设置正确。检查webpack.config.js中的output.sourceMap属性设置。 ```javascript module.exports = { // ... output: { filename: '[name].[chunkhash].js', path: path.resolve(__dirname, 'dist'), sourceMap: true, // 或者你想启用的source map类型，如 'inline-source-map' 或 'file' }, // ... }; ``` 2. **浏览器支持**：某些旧版浏览器不支持自动加载Source Map，需手动添加`<script>`标签来引入.map文件。 ```html <script src="app.js" integrity="sha384-/..." crossorigin="anonymous"></script> <script async src="app.js.map" integrity="sha384-/..."></script> ``` 3. **文件权限**：确保打包后的.js.map文件可访问，避免服务器防火墙限制或目录权限问题。 4. **泄露检测**：若怀疑存在泄露，使用反向Source Map工具（如reverse-sourcemap）检查是否存在异常。 ```bash reverse-sourcemap your-built-file.js > source-code.txt ``` 如果上述排查后还是无法成功关联，可能是Webpack配置存在问题或网络/文件系统问题，建议检查相关的日志和错误信息以获取更准确的解决方案。