【网络安全】WebPack源码(前端源码)泄露 + jsmap文件还原

前言

webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图,其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,使用webpack打包应用程序会在网站js同目录下生成 js.map文件。

漏洞风险

通过泄露的前端源代码可以查找各种信息,如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者尝试未授权漏洞、拼接接口越权漏洞、查找源代码中关键字去GitHub查找程序源码进行代码审计。

寻找js.map

1、利用source-detector插件可以寻找程序中存在的js.map文件

插件的安装使用教程:【CSDN秋说】几款配合Burpsuite使用的Google插件(Wappalyzer、FindSomething、FOFAproView等)

2、在网站JS文件中用关键词寻找js.map文件

3、处理Burp的HTTP历史请求时,不对js文件进行过滤,之后再全局搜索js.map

利用

如果使用的是source detector插件,则该插件可直接对js.map进行还原并保存。

如果不使用该插件,则需要手动进行逆向还原操作,使用的工具为reverse-sourcemap

1、安装reverse-sourcemap

复制代码
winget install node.js
npm install --global reverse-sourcemap

2、使用reverse-sourcemap还原代码

复制代码
reverse-sourcemap -o 目录 -v 文件名.js.map

-o:还原后的目录,-v:需要还原的文件

使用windows系统时,上面的命令写绝对路径会报错,此时将文件名放置于目录下,保存同目录即可。

还原后即可打开源文件。

插件附图:


相关推荐
谭光志2 小时前
Vibe Coding 时代,程序员该何去何从
前端·后端·ai编程
仿生狮子3 小时前
别再说“全栈”了,AI 时代团队只认这 5 种人
前端·人工智能·后端
kyriewen3 小时前
AI 写的 React 组件,合并前必查的 6 个坏味道——每个都有代码对比
前端·javascript·react.js
Highcharts.js4 小时前
软件开发公司为什么选择 Highcharts?
前端·前端框架·echarts·数据可视化·技术选型·highcharts·图表工具
阿祖zu4 小时前
企业 AI 转型之痛,个人提效十倍不止,组织效率仍止步不前?
前端·aigc·agent
摇滚侠6 小时前
SpringBoot3+Vue3 全套视频教程 45-51
前端·javascript·vue.js
酸梅果茶6 小时前
【6】lightning_lm项目-LIO 前端 -点云预处理模块
前端·slam
Hilaku6 小时前
前端大裁员背后的恐慌:我们还剩什么底牌?
前端·javascript·程序员
咖啡无伴侣7 小时前
unplugin-auto-import 使用详解+面试高频考点
前端·架构
搬砖记录员7 小时前
录屏文件打不开?H.265兼容性踩坑与4种实战方案
前端