X-RAY 扫到dirscan/sourcemap/default漏洞
漏洞 Default ray
2023-09-11 14:19:27 时间
X-RAY 扫到dirscan/sourcemap/default漏洞,后缀为.js.map
还原代码:
npm install --global reverse-sourcemap
reverse-sourcemap -v xx.js.map -o soucecodes
dirscan/sourcemap/default漏洞原理
在日常测试时,经常会遇到以js.map为后缀的文件
这是jQuery中的一个新功能,支持Source Map
非常多Webpack打包的站点都会存在js.map文件.
通过sourcemap可还原前端代码找到API,间接性获取未授权访问漏洞
什么是Source map
简单说,Source map就是一个信息文件,里面储存着位置信息。转换后的代码的每一个位置,所对应的转换前的位置。
有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。
dirscan/sourcemap/default漏洞复现
使用xray扫到 dirscan/sourcemap/default 漏洞。
直接访问链接可下在sourcemap文件,利用该文件还原源代码需使用reverse-sourcemap工具。
先安装:nodejs,
下载地址:https://nodejs.org/zh-cn/download/
选择适合自己操作系统的版本:
相关文章
- CVE-2018-8174(双杀漏洞)复现
- 针对移动手机漏洞与安全支付现状分析
- INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选
- 漏洞复现----10、Node.js CVE-2017-14849 任意文件读取
- 【POC公开】CVE-2021-31166:Windows HTTP协议远程代码执行漏洞通告
- 2021-05 补丁日:微软多个漏洞通告
- CVE-2021-21984:VMware vRealize Business for Cloud 远程代码执行漏洞通告
- 【更新通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)通告
- 【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
- 通达OA远程代码执行漏洞通告
- Spring RCE(CVE-2022-22965)漏洞复现POC
- Xen虚拟机管理10个月内连曝3个高危虚机逃逸漏洞
- 若依框架漏洞(若依管理框架漏洞复现)
- spring框架漏洞整理(Spring WebFlow远程代码执行)
- spring框架漏洞整理(Spring Framework漏洞)
- 助Flash修复4个漏洞 腾讯湛泸实验室再获Adobe公开致谢
- 黑客可利用e-Bay的一个站点漏洞(XSS)来偷取用户
- Samba曝出7年漏洞 1行代码即可远程攻击
- eBay漏洞可让攻击者在拍卖页面嵌入恶意代码
- (CVE-2021-44228)Apache_Log4j2_RCE漏洞复现(反弹shell教学)