正文
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
01
—
漏洞简介
Vue使用webpack(静态资源打包器)的时候,如果未进行正确配置,会产生一个js.map文件,而这个
js.map可以通过工具来反编译还原Vue源代码,产生代码泄露
02
—
如何发现js.map
1.使用目录扫描工具,例如URLFinder,Dirsearch扫描目标网站,获得js文件(甚至可直接扫描出js.map文件)
2.访问网站的js文件,在其后面添加.map,如有泄露即可下载该js.map文件
03
—
漏洞利用
安装reverse-sourcemap
npm install --global reverse-sourcemap
2.检查安装是否成功
3.反编译js.map文件
reverse-sourcemap --output-dir . index.775ebd42c6d0a798a0a2.js.map
参数解释:
--output-dir . 结果输出到当前目录的webpack文件夹
04
—
漏洞修复
1.在项目路径下修改config/index.js中build对象productionSourceMap: false;
2.建议删除或禁止访问正式环境中的js.map文件;
★
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读