逆向webpack打包,还原出原始文件。

最新推荐文章于 2025-05-14 15:09:53 发布
最新推荐文章于 2025-05-14 15:09:53 发布
阅读量8.6k 收藏 34
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: webpack 解密 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w2sft/article/details/119544527
本文通过一个实际案例展示了Web前端安全中常见的源码泄露问题,由于地图(map)文件的不当暴露,导致整个项目的源代码被轻易还原。这种安全疏漏可能使网站面临源码被盗用、复制相似网站的风险。为防止此类问题,建议开发人员不要将map文件部署到服务器,并在打包前使用混淆加密工具保护关键代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Web前端安全需重视:map文件导致的源码泄露案例。

偶然间,看到一个很高端、大气、科幻的网站:

立即就有学习该网站技术的想法。

查看源码、调出开发者工具,看到如上内容。

简单分析发现,这是一个经webpack打包的js:

而且map文件也存在:

有js、map两个文件,可以很轻松的还原出源码。

NodeJS环境下,安装shuji,这是一个webpack还原工具,借助它,可以很轻松恢复出源代码。

安装过程略。执行还原:

瞬间得到项目源文件,js代码、obj模型、贴图等。Index.vue文件的存在,说明这是一个vue构建的工程:

用同样的方法,还原其它几个map文件,这样,基本上就得到了完整的项目源码:

Threejs、vue结合的一个项目,得到源码,可以开始学习了。

在安全角度来看,这算的上是一起因为map文件外泄导致的源码安全问题,属于web安全问题一类。

可以导致的后果:源码泄露、源码可以被他人分析、可以复制出一个高度雷同的网站,可能导致网站用户被欺诈等。

如何解决呢?

  1. map文件不应该随网站一起存放到服务器。这应该是网站开发人员疏忽大意所致。
  2. 网站js源代码未进行保护,用webpack打包前,可以将重要的js代码使用JShaman之类的混淆加密工具进行保护,加密保护后的js代码,即使泄露,也不会被分析盗用,因为加密代码无法被二次开发利用。
【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原
等风来
04-09 6218
webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件
JS逆向Webpack(一)
Wxc的Blog
03-09 6557
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
2401_84971562的博客
05-13 602
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
jQuery发送Ajax请求的几种方法示例
最新发布
zichenblog的博客
05-14 1030
("#getJsonResult").html("文章标题: " + data.title + "<br>内容: " + data.body);$("#ajaxResult").html("请求失败: " + error);$("#ajaxResult").html("请求失败: " + error);$("#getJsonResult").html("请求失败");$("#postResult").html("请求失败");$("#getResult").html("请求失败");
jdz 政府网站webpack逆向和部分还原
liu_yueyang的博客
09-12 3955
有一个之前同事他们要一些政府网站的信息,做模型,结果有一个地区的网站要么加载慢,要么问题就问了下。正好我最近研究webpack,其中一个就是webpack的。其实之前已经看了两周webpack相关的内容了。实在是不得要领,最基础的就是找到调用的地方,一行行补,一个方法一个方法的口,但是看到一个帖子好像webpack有通用的方式,于是研究了起来。可以别人的案例看着容易,自己不事件,始终用不起来。基础理论可以看上面的帖子。
webpack4.x 1:1 还原 vue-cli创建的项目!!!
dizuncainiao的博客
10-07 1582
本篇会介绍如何使用 webpack4.x 1:1 还原 vue脚手架创建的项目,对于入门 webpack 的同学不容错过!
利用shuji还原webpack打包源码·
Lucker_YYY的博客
09-15 1175
Webpack是一个用于构建现代 Web 应用程序的静态模块打包工具。它是一个高度可配置的工具,通过将应用程序的所有资源(例如JavaScript、CSS、图片等)视为模块,并使用依赖关系来管理它们之间的引用,将它们打包成一个或多个最终的静态资源文件。大家可以看我之前有一篇webpack接口泄露的edu挖掘文章。
webpack4.x加vue模板文件简单还原vue-cli
weixin_30505043的博客
10-09 334
1.首先 npm init -y 创建一个项目 2.安装vue   npm install vue --save 3.然后安装webpack 注意如果全局没有还要安装全局的webpackwebpack-cli   npm install --save-dev webpack webpack-dev-server webpack-cli 4.安装loader(加载器)   npm i...
无法安装冰点还原_冰点还原标准版v8.56.020.5542 ——墨涩网
weixin_39576018的博客
10-24 1098
冰点还原(DeepFreeze)是由Faronics公司品的一款系统还原软件,它可自动将系统还原到初始状态,保护系统不被更改,能够很好的抵御病毒的入侵以及人为的对系统有意或无意的破坏。还原精灵的安装不会影响硬盘分区和操作系统。轻松安装、动态保护、实时瞬间恢复,操作简单。安装了DeepFreeze的系统,无论进行了安装文件,还是删除文件、更改系统设置等操作,计算机重新启动后,一切将恢复成...
简要分析webpack打包代码
weixin_33700350的博客
09-04 447
开门见山 1.打包单一模块 webpack.config.js module.exports = { entry:"./chunk1.js", output: { path: __dirname + '/dist', filename: '[name].js' }, }; chunk...
js逆向webpack
weixin_46468720的博客
10-19 1630
webpack遇到其它站的代码,扣加载器的时候,例如下图,除了function n(t){}这个函数,其它代码都删掉,判断标准是它带call或者apply。然后简化下加载器,对照着上面webpack最简单的样子,简化。案例:例如定位到的方法在一个webpackjs文件中。1、找到加载器(加载模块的方法)扣代码会遇到的基本2种形式。然后把他的模块加载器扣下来。3、构造一个自执行方法。
react:React,还原webpack
05-16
React React,还原webpack
还原
02-16
Create React App入门 该项目是通过。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。 yarn test 在交互式监视模式下启动测试运行程序。 有关更多信息,请参见关于的部分。 yarn build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化构建,文件名包含哈希。 您的应用已准备好进行部署! 有关更多信息,请参见有关的部分。 yarn eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从项目中删除单个构建依赖项。 相反,它将所有配置文件和传递依赖项(webpack,Babel,ESL
webpackjsonp 还原_Windows 10免费备份还原工具
weixin_39566593的博客
10-24 386
养成备份系统的习惯很重要,尤其计算机问题后你会很感激自己曾经这么做过。启动备份软件创建备份文件,双重保护您的系统、应用程序、照片及其他重要文件。备份怎么做,会很麻烦吗?事实上,一些对计算机认识较少的普通用户可能会认为备份还原Windows系统很困难;但如果有了备份软件的帮助,情况就大不相同。易我备份专家 是一款全球知名的计算机备份软件,备份起来轻松简单,三个步骤搞定备份任务。该程序可备份系统、备...
模块打包工具——Webpack
drawlessonsfrom的博客
03-04 369
一、Webpack简介 Webpack是一个模块打包器,它能够根据模块的依赖关系递归地构建一个依赖关系图,当中包含了应用程序需要地所有模块,最后打包成一个或多个boundle。 说明:boundle一般用来形容模块打包后生成地文件,通常我们会将文件命名为boundle.js。 Webpack地全局安装命令为: npm install -g webpack webpack-cli 注意:不同于Webpack 3.x,Webpack-cli在Webpack 4中被分离了,所以需要同时安装两个库。 同Brows
【JS逆向】之webpack逆向实战
weixin_44504978的博客
02-22 6154
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 目标网站: aHR0cHM6Ly8xNTE0NjQ2LmNvbS9sb2dpbg== 引言 webpack对于有研究过人的来说就是,难度并不是很高,但是因为webpack代码,非常的繁多,一个webpack可能就是几万行代码。运行速度自然也会受到影响,如果是普通不管运行时长的代码来说,可能无关紧要,但对于一些抢购lei软件来说,一毫秒都相当的重要。所以减少无关的代码,压缩代码时很重要的,我前面写的自吐算法就可以达到压缩和
webpack js逆向 3
之度的博客
05-23 218
某房产登录,参考:python爬虫逆向webpack,某房产管理平台登录password参数加密逻辑_A的博客-优快云博客_webpack 爬虫​​​z​​​ xhr,这里账号位数一定要输入正确,否则xhr就抓不到。全局搜索password,跟值进去。 灾后在其所在函数头部, 在n()或者文件头部找一下,发现四webpack 定义输改造函数: 入口函数尾部是一个数组,找到加密函数所在数组,发现是75,调用的话是getdata 为了方便函数的导,需要把加密函数导,...
webpack逆向实战
weixin_62819126的博客
10-14 1604
模块打包Webpack能够识别并处理各种类型的模块(如JavaScript、CSS、图片等),并通过依赖关系图来确定它们之间的引用关系。代码转换:Webpack支持使用各种加载器(Loaders)对不同类型的文件进行转换。例如,可以使用Babel加载器将ES6+的JavaScript代码转换为浏览器可识别的ES5代码代码分割:Webpack可以将应用程序拆分为多个块(chunks),并在运行时动态加载它们。这有助于实现按需加载,提高应用程序的性能。
js逆向webpack案例3
sin_0119的博客
03-26 930
js逆向webpack逆向
全国建筑市场js逆向webpack
01-15
### 全国建筑市场项目中的JavaScript逆向工程与Webpack的应用 #### JavaScript逆向工程技术概述 在探讨全国建筑市场的项目中进行JavaScript逆向工程时,主要关注的是理解现有系统的内部工作原理及其依赖关系。通过分析已有的前端代码结构、网络请求模式以及数据交互流程来实现这一目标。 对于Web应用程序而言,特别是那些基于现代框架开发的应用程序,如React或Vue.js,在执行逆向工程的过程中通常会涉及到解析由打包工具(例如Webpack)处理后的复杂文件结构。由于Webpack采用了一种特殊的资源管理机制——即将最终输的JS和CSS文件逆向”地注入到HTML文档中[^1],因此解构这类应用的第一步便是要还原原始模块间的关联性。 #### Webpack的具体应用场景 当考虑将Webpack应用于大型企业级项目,尤其是像全国建筑市场这样规模庞大且组件众多的情况下,合理的配置显得尤为重要。为了有效管理和优化构建过程: - **多入口点设置**:针对不同页面创建独立的入口文件,从而减少不必要的重复加载; - **按需加载策略**:利用动态导入语法(`import()`)分割代码片段,仅在网络访问对应功能区域时才发起下载; - **公共库提取**:识别并分离第三方类库至单独chunk内,提高缓存命中率的同时降低首页白屏时间; ```javascript // webpack.config.js 示例部分 module.exports = { entry: { vendor: ['react', 'lodash'], // 提取常用外部库 app: './src/index.jsx' }, optimization: { splitChunks: { chunks: 'all' }, // 启用自动拆分逻辑 } }; ``` 此外,考虑到实际业务场景下的特殊需求,还可以引入诸如`HtmlWebpackPlugin`插件来自动生成包含正确路径引用的index.html模板,简化部署流程。 #### 安全考量 值得注意的是,在实施上述技术方案过程中还需重视安全性保障措施。鉴于Google定义的安全级别二标准指,所有服务使用的软件都应来源于经过严格审查并通过测试验证过的特定代码仓库[^3],所以在开展任何逆向操作前务必确认源码合法性,并遵循最佳实践指导方针以防止潜在风险暴露给恶意攻击者。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值