web渗透实战 | js.map文件泄露导致的通杀漏洞

黑客老李2026-02-07 22:29

一.简介

js.map 文件是 JavaScript 的 Source Map 文件,用于存储压缩代码与源代码之间的映射关系。它的主要作用是帮助开发者在调试时,将压缩后的代码还原为可读的源代码,从而快速定位问题。

平时渗透过程中,会遇到很多的 webpack 打包的站点,webpack 加载的 js 大部分都是变量名混淆的,渗透测试者不好直接查看不同的接口和调试网页。

Webpack 如何导致 Vue 源码泄露?

Source Map(.map 文件)泄露原始代码

  • 问题

    Webpack 默认生成 Source Map(.map 文件) ,用于调试压缩后的代码。如果 **.map** 文件被部署到线上,攻击者可以借助工具(如 **reverse-sourcemap**)还原出完整的原始代码。

示例 :打包后的 **app.js** 附带 **app.js.map**,攻击者可以:

复制代码 
bashreverse-sourcemap --output-dir ./stolen_src ./dist/app.js.map

直接还原出 Vue 组件、API 接口、加密逻辑等

未压缩/未混淆的代码

  • 问题

    如果 Webpack 未启用代码压缩(如 **TerserPlugin**)或混淆(如 **uglifyjs**),打包后的代码可能仍然保留 可读的变量名、注释、甚至敏感信息

示例:代码里有:

复制代码 
jsconst API_KEY = "sk_live_123456"; // Stripe 生产环境密钥

攻击者可以直接在 **bundle.js** 里搜索关键词(如 **API_KEY****password****secret**)找到敏感数据。

未正确设置 Webpack 的 **mode: 'production'**

  • 问题

    如果 Webpack 配置未指定 **mode: 'production'**,可能会导致:

  • • 未启用代码压缩优化

  • • 包含 开发环境调试代码 (如 Vue 的 **devtools** 警告)

  • • 暴露 未使用的代码路径(如测试接口、未启用的功能)

第三方依赖泄露

  • 问题

    如果项目中使用了未正确处理的第三方库(如某些 npm 包可能包含敏感信息),它们也会被打包进 **bundle.js**

  • 示例

    某些库可能在代码里硬编码测试环境的数据库密码、内部 API 地址等。

二.工具

1. reverse-sourcemap

reverse-sourcemap 是一个工具,用于从 .map 文件中逆向还原 JavaScriptCSS 的源码。

1.1. 安装:

    1. 需要先 安装 Node.js 和 npm。(我没写,自己网上找)
    1. 使用以下命令全局安装 reverse-sourcemap:

    npm install --global reverse-sourcemap

安装完成后,可以通过以下命令检查是否成功:

复制代码 
reverse-sourcemap -h

1.2. 工具使用

在终端中运行以下命令,将源码输出到指定目录:

复制代码 
reverse-sourcemap --output-dir sourceCode example.js.map

现在就还原出来了。

如果需要递归处理多个 .map 文件,可以添加 -r 参数:

复制代码 
reverse-sourcemap -r --output-dir sourceCode

2. SourceDetector(插件)

2.1. 简介

SourceDetector是一个自动发现.map文件,并帮你下载到本地的一个chrome extension。

2.2. 项目地址

复制代码 
https://github.com/LuckyZmj/SourceDetector-dist

2.3. 使用

下载 zip 包之后然后解压,谷歌浏览器添加扩展程序(注意是添加文件中的dist文件夹)

之后你在浏览任何网页时,该插件将自动检测是否有.map文件。其会自动按网站分组显示源码文件,并可点击下载全部或部分源码文件。

三.实战复现

访问到一个站点,:

复制代码 
http://oa.xxxxx.com:2345/login?redirect=%2F

登录口,常规手法无效,无突破。

发现.js.map 文件,反编译发现大量接口:

审计 js 发现好几个接口未授权,但是没什么有价值东西,还是不能突破登录口,于是提指纹找相同系统,运气很好,找到一个测试站点:

复制代码 
http://xx.xx.xx.xx:7777/

使用超管账号登录查看 bp 流量:

发现一个接口通过 token 返回了管理员的账号和密码:

复制代码 
/xx/xx/getInfoByToken?token=eyJxx.xx.xx

突发奇想将当前系统的接口以及 token 信息带到不同网站去尝试:

结果也返回了当前系统的管理员信息,解密 md5 值:

成功进入系统:

最后提取指纹看看资产多少:

相关推荐
黎阳之光4 小时前
黎阳之光:视频孪生领跑者,铸就中国数字科技全球竞争力
大数据·人工智能·算法·安全·数字孪生
上海云盾-高防顾问4 小时前
网络安全防护发展趋势:从被动防御到主动赋能
安全·web安全
CCTI_Curran5 小时前
UL4200A是美国针对纽扣电池安全标准
安全·纽扣电池·ul4200a·纽扣电池gcc认证·美国亚马逊
做个文艺程序员5 小时前
MySQL安全加固十大硬核操作
数据库·mysql·安全
是罐装可乐5 小时前
深入理解“句柄(Handle)“:从浏览器安全到文件系统访问
前端·javascript·安全
Figo_Cheung6 小时前
Figo义商本体约束推理引擎 (CRE):基于已部署CRE本地模型的技术实践研究——迈向AGI时代的AI伦理安全框架
人工智能·安全
信创DevOps先锋7 小时前
DevOps工具链选型新趋势:本土化适配与安全可控成企业核心诉求
运维·安全·devops
ayt0077 小时前
Netty AbstractNioChannel源码深度剖析:NIO Channel的抽象实现
java·数据库·网络协议·安全·nio
三七吃山漆7 小时前
BUUCTF-[BJDCTF2020]Mark loves cat
web安全·网络安全·buuctf
mon_star°8 小时前
消防安全培训小程序项目亮点与功能清单
小程序
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05MySQL表约束详解:8大核心约束实战指南06Oh My Codex 快速使用指南07实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)10UV安装并设置国内源