webpack信息泄露_webpack泄露

漏洞概述

webpack是一个 JavaScript 应用程序的静态资源打包器（module bundler）。它会递归构建一个依赖关系图（dependency graph）,其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等

测试方法

• 手工/工具测试
  通过目录扫描工具扫描查看是否存在敏感路径；
  通过文件扫描工具扫描查看是否存在敏感文件；

测试过程

风险级别

中危

修复建议

1、可以直接在项目路径下修改config/index.js中build对象productionSourceMap: false

build:{
	productionSourceMap: false, // 默认都是true,将其置为false
}
1
2
3

2、建议删除或禁止访问正式环境中的js.map文件

扩展

什么是 source map?

在main.js 添加这样一条代码：console.log(‘test’)

打包：
没有开启 productionSourceMap 运行后浏览器控制台显示效果：
开启productionSourceMap运行后浏览器控制台显示效果：

可以看出，开启productionSourceMap后，浏览器控制台明确的告诉我们test这条结果的输出语句在main.js的20行。这就是source map的作用，对于开发人员差错时非常有用的。

下面时开启/关闭productionSourceMap打包出来的项目文件对比：
未开启：

开启：

可以看出，开启productionSourceMap后，打包生成的 js 文件都有一个 .map 文件。这里要注意，只有 js 才有 .map 文件。