webpack信息泄露

先看看webpack中文网给出的解释

webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。

如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险

那么就是说,存在webpack信息泄露问题的网站目录中,存在.map文件,该文件内包含了所有的js文件

本身还是要从js文件中提取到敏感信息(用户名,密码,接口等),所以这里提供两种利用方式

利用方式

利用方式一

findsomething

此工具主要是从网站的js中提取敏感信息,安装对应浏览器插件即可。

利用方式二

Packer Fuzzer

该工具会自动检测网站是否存在webpack信息泄露问题,并且自动提取对应目标站点的API以及API对应的参数内容

这里不介绍安装方式,按照文档操作即可,可能会出现下面问题,不影响运行,忽略即可

那么说一下利用过程,遇到一个网站,这里以webpack中文网(https://www.webpackjs.com/)为例

首先使用wappalyzer发现该网站使用了webpack模块

使用Packer-Fuzzer进行检测利用

在reports目录下查看对应文件名的html文档(目标url+随机数命名),存在一个中危,但是是误报

使用findsomething,发现了很多路径,直接复制路径

然后使用burpsuite的intruder模块,进行发送即可,记得关闭下方的payload ending即可,然后在根据页面返回状态码以及返回数据包的大小不同进行判定

相关推荐
浩浩测试一下41 分钟前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
ᥬ 小月亮1 小时前
webpack基础
前端·webpack
Fortinet_CHINA3 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路5 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk5 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
abigale036 小时前
webpack+vite前端构建工具 -11实战中的配置技巧
前端·webpack·node.js
安全系统学习12 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
深圳安锐科技有限公司16 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦16 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai
冰橙子id17 小时前
linux系统安全
linux·安全·系统安全