webpack信息泄露

先看看webpack中文网给出的解释

webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。

如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险

那么就是说,存在webpack信息泄露问题的网站目录中,存在.map文件,该文件内包含了所有的js文件

本身还是要从js文件中提取到敏感信息(用户名,密码,接口等),所以这里提供两种利用方式

利用方式

利用方式一

findsomething

此工具主要是从网站的js中提取敏感信息,安装对应浏览器插件即可。

利用方式二

Packer Fuzzer

该工具会自动检测网站是否存在webpack信息泄露问题,并且自动提取对应目标站点的API以及API对应的参数内容

这里不介绍安装方式,按照文档操作即可,可能会出现下面问题,不影响运行,忽略即可

那么说一下利用过程,遇到一个网站,这里以webpack中文网(https://www.webpackjs.com/)为例

首先使用wappalyzer发现该网站使用了webpack模块

使用Packer-Fuzzer进行检测利用

在reports目录下查看对应文件名的html文档(目标url+随机数命名),存在一个中危,但是是误报

使用findsomething,发现了很多路径,直接复制路径

然后使用burpsuite的intruder模块,进行发送即可,记得关闭下方的payload ending即可,然后在根据页面返回状态码以及返回数据包的大小不同进行判定

相关推荐
chenyulin45451 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
云水一下2 小时前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入
CypressTel3 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
上海云盾-小余5 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
科力锐品牌君5 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
Chockmans6 小时前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
长风2306 小时前
Day 17: 突破 AOB 框架霸权 —— 插件界面重构与大屏呈现
人工智能·安全
chenyulin45457 小时前
企业微信API:海量会话存档数据的高性能检索与Elasticsearch索引设计
大数据·人工智能·安全·企业微信
启雀AI16 小时前
生物医疗行业如何建设合规、安全、可复用的知识库?
人工智能·安全·软件构建·知识图谱·知识库
Sirius Wu17 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc