.js.map文件泄露/Springboot信息泄露

已于 2024-07-02 08:47:53 修改
阅读量3.5k 收藏 25
点赞数 30
分类专栏: 安全 信息泄露 文章标签: spring boot 后端 java
于 2024-07-02 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_68163788/article/details/140067715
版权

目录

框架识别

Webpack

简述

.js.map文件泄露

利用

Spring boot

 

很多网站都使用的是现有的框架进行开发的,因此相当于很多目录和文件的路径都是开源可知的,因此我们就可以直接访问对应的路径,如果网站没有进行限制就有可能会导致敏感信息泄露

框架识别

可以根据页面的报错信息/icon

例如:Springboot:

报错页面:

5ab98561b3594720bff331e1717762bd.png

icon:

最低0.47元/天 解锁文章
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
等风来
04-09 6077
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件
SpringBoot 文件上传优化
AI天才研究院
07-30 2552
随着互联网信息技术的飞速发展、移动互联网的普及、大数据和云计算的爆炸性增长,各种文件的上传、下载、管理等应用也迅速地被提出。基于现代互联网开发模式和技术框架,Spring BootSpring 框架之上提供了全面的开源解决方案,帮助开发者快速搭建属于自己的云服务。然而在实际工作中,仍存在很多优化点可以进一步提高系统性能和可用性。本文将从文件上传到文件的存储,从请求处理到响应处理进行详细分析。文件上传就是指通过网络上传一个或多个文件至服务器端,服务器端可以保存并处理这些文件
使用 reverse-sourcemap 工具反编译 Vue 项目
最新发布
caisexi的博客
04-17 1247
通过以上步骤,你可以使用 reverse-sourcemap 工具将 Vue 项目的打包文件反编译回接近原始的源代码,以便进行分析、修改或恢复丢失的源码。这个脚本会遍历指定目录下的所有 .map 文件,并执行反编译命令,将结果输出到指定的源代码目录。法律和道德问题:反编译他人的代码可能涉及法律和道德问题,请确保你有合法的权限进行反编译操作。源码还原度:反编译得到的源码可能无法完全还原到原始状态,特别是经过复杂优化和混淆的代码。替换 src 文件夹:将反编译得到的 src 文件夹替换到原代码目录。
【渗透测试】Webpack源码泄露js.map泄露
网络安全从业者的学习笔记
07-10 4534
在Vue项目中使用Webpack时,如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险
Springboot信息泄露
weixin_47118413的博客
09-26 889
​Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息。如果Actuator使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。heapdump作为Actuator组件最危险的Web接口,如Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件,分析heapdump堆转储文件进一步获取敏感信息。
记录一次发现Webpack源码泄露js.map泄露)过程
qq_41760817的博客
12-13 1万+
记录发现webpack源代码泄露的复现,js.map文件泄露
可造成敏感信息泄露Spring Boot之Actuator信息泄露漏洞三种利用方式总结
WangsuSecurity的博客
08-02 1万+
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
核心框架:SpringBoot/Vue.js
qq_17295025的博客
11-17 874
SpringBoot 微服务阶段 JavaSE:OOP Mysql:持久化 html+css+js+jquery+框架:视图,框架不熟练,css javaweb:独立开发MVC三层架构的网站:原始 ssm:框架:简化了我们的开发流程,配置也开始比较复杂 war:tomcat运行 Spring再简化:SpringBoot-jar:内嵌tomcat;微服务架构 服务越来越多:SpringCloud管理 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FfzI5I76-1605599
基于Springboot+vue的图书管理系统(源代码+数据库) .zip
03-05
《基于Springboot+Vue的图书管理系统》是一款集成了人工智能元素的信息化管理工具,旨在实现高效、智能化的信息管理系统设计与开发。本系统的核心是利用JavaSpringboot框架搭建后端服务,结合前端Vue.js技术,构建...
泄漏服务:带有故意内存泄漏的Spring Boot应用程序
02-17
泄漏服务 一个带有故意内存泄漏的Spring Boot应用程序。
SpringBoot+Minio实现多文件下载和批量下载
北执南念的博客
10-28 1841
SpringBoot+Minio实现多文件下载和批量下载
webpack 源码泄露
LuckySec
12-03 2万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
前端js.map文件泄露
weixin_60965776的博客
11-20 3833
转换后的代码的每一个位置,所对应的转换前的位置。有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。在日常测试时,经常会遇到以js.map为后缀的文件,非常多Webpack打包的站点都会存在js.map文件.,通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞,什么是Source map。下载好js.map文件后就是逆向还原操作,我们用到的工具reverse-sourcemap。-o:还原后的目录,-v:需要还原的文件
Springboot信息泄露以及heapdump的利用
热门推荐
LiBai'S BLOG
10-12 3万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
渗透测试之webpack源码泄露
weixin_46072207的博客
07-24 1669
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
Webpack源码泄露到Vue快速入门
记录开发和安全学习过程中的点点滴滴
05-23 3382
刚好最近学习了Vue和Webpack,回顾一下学习并对Vue的学习过程中对笔记总结进行记录,同时进行思考过程中的理解加入其中,方便自己进行后续的学习和回顾,当然因为这两个内容都和我之前在进行渗透测试中碰到的一种漏洞类型相关,其中很容易碰到资产是关于使用wepack进行打包的,并且存在js.map泄露,在源码泄露中,常见的前端是通过vue进行编写的,顺便加深一下之前渗透过程的印象.webpack是一个JavaScript应用程序的静态资源打包器。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值