挖洞思路:前端源码泄露漏洞并用source map文件还原

这篇具有很好参考价值的文章主要介绍了挖洞思路:前端源码泄露漏洞并用source map文件还原。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

0x01漏洞简介

webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue应用会使用webpack进行打包,如果没有正确配置,就会导致Vue源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。

0x02 漏洞复现

找到含.map的js页面
进入到一个*.js的页面查看源码:
js.map文件还原,漏洞复现及思路,渗透测试,安全
选一个点进去拉到最下面:
js.map文件还原,漏洞复现及思路,渗透测试,安全
后缀加上.map访问https://xxx.js.map

会直接下载app.91c9e19843b6a38f9ff5.js.map

0x03 source map文件还原

reverse-sourcemap

这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。

全局安装

npm install --global reverse-sourcemap

然后( -o 后面跟的是还原后的目录)

reverse-sourcemap -o aaa -v app.9fbea7c7.js.map

0x04 检测插件

SourceDetector是一个谷歌浏览器插件,此插件可以自动的判断网站是否存在js.map文件,并且能够利用该插件直接下载到js.map的Vue源码

git clone https://github.com/LuckyZmj/SourceDetector-dist

提示:
如果此命令下载失败,可直接访问https://github.com/LuckyZmj/SourceDetector-dist下载.zip文件:
js.map文件还原,漏洞复现及思路,渗透测试,安全
然后解压,谷歌浏览器添加扩展程序(注意是添加文件中的dist文件夹)js.map文件还原,漏洞复现及思路,渗透测试,安全

js.map文件还原,漏洞复现及思路,渗透测试,安全文章来源地址https://www.toymoban.com/news/detail-794141.html

0x05 漏洞修复

  • 在项目路径下修改config/index.js中build对象productionSourceMap: false;
  • 建议删除或禁止访问正式环境中的js.map文件;

到了这里,关于挖洞思路:前端源码泄露漏洞并用source map文件还原的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 前端Vue项目webpack打包部署后源码泄露解决

    前端项目使用nuxt框架(基于Vue),采用Webpack打包,部署到服务器后,进行漏洞检测。 经Webpack打包部署到服务器后,访问并打开开发者模式,在Source下出现[name]路径,内部包含(webpack)buildin文件夹。(做漏洞分析时,会认为该内容涉及源码泄露) 1.首先考虑源码泄露的问题 打

    2024年02月03日
    浏览(87)
  • 前端 JS 压缩图片的思路(附源码)

    相信大家都做过图片上传相关的功能,在图片上传的过程中,不知道大家有没有考虑过文件体积的问题,如果我们直接将原图片上传,可以图片体积比较大,一是上传速度较慢,二是前端进行渲染时速度也比较慢,比较影响客户的体验感。所以在不影响清晰度的情况下,前端

    2024年04月27日
    浏览(31)
  • 数据泄露溯源(数据泄露应急思路)

    溯源从以下方面开展: 一、泄露数据分析     1.进行数据内容水印、隐写信息确认,确认有无可溯源痕迹;     2.人工确认关键属性特征,基于关键属性特征及泄露数据中的属性特征值,进行本地数据库对比,         明确数据是否全部为本单位所有、数据入库时间特征

    2024年02月10日
    浏览(43)
  • 【JVM】Java内存泄露的排查思路?

    Java内存泄露(Memory Leak)是指在Java程序中,无用的对象占用了 堆内存 ,但无法被垃圾回收器回收释放,从而导致可用内存逐渐减少,最终可能导致内存耗尽或性能下降的问题。 说明一般对于内存泄漏。都是针对 堆 的。 程序一般出现内存泄漏会有 两个状态 一是一启动导致

    2024年02月13日
    浏览(50)
  • ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031)漏洞解决办法

    ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031) 漏洞解决办法            

    2024年02月12日
    浏览(48)
  • 漏洞复现|Kyan密码泄露/命令执行漏洞

    所有发布的技术文章仅供参考,未经授权请勿利用文章中的技术内容对任何计算机系统进行入侵操作,否则对他人或单位而造成的直接或间接后果和损失,均由使用者本人负责。 Kyan网络监控设备存在账号密码泄露漏洞,该漏洞是由于开发人员将记录账户密码的文件放到网站

    2024年02月12日
    浏览(47)
  • 【web渗透思路】框架敏感信息泄露(特点、目录、配置)

      博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。 擅长:对

    2023年04月19日
    浏览(44)
  • ES mapping映射属性_source、_all、store和index

    这个说的比较清楚 图解Elasticsearch中的_source、_all、store和index属性_esc_ai的博客-CSDN博客

    2024年02月15日
    浏览(41)
  • 【web渗透思路】敏感信息泄露(网站+用户+服务器)

       博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。 擅长:

    2023年04月18日
    浏览(46)
  • 【漏洞复现】大华智慧园区综合管理平台信息泄露漏洞

            大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。         大华智慧园区综合管理平台存在信息泄露漏洞,攻击

    2024年02月22日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包