Небезпека, пов'язана з вихідними map-файлами JavaScript

USEFUL TIPS

By Pakurity on Sat Mar 13 2021

Для чого нам потрібні map-файли JavaScript?

Вихідні map-файли допомагають тоді, коли ви хочете відлагодити мінімізовані файли. Вони працюють шляхом відображення зменшеного коду до його немініфікованої версії. Ви можете налагодити ці немініфіковані Javascript файли, як звичайні.

Як зловмисники можуть знайти JS map-файли?

Для початку нам треба провести огляд вихідного коду веб-сторінки і пошукати там будь-які “.js” файли. Як ви бачите на скріншоті нижче, ми знайшли файл “app-8a4b38cb30f5ecc24df1.js”:

Далі, ми змінюємо URL, додаючи “/NAME_OF_THE_SCRIPT.js”, і маємо побачити наш JS скрипт:

Нарешті, щоб побачити вихідний map-файл, ми додаємо “.map” в кінці нашого URL:

Навіщо потрібно приховувати вихідні map-файли?

Якщо ваші вихідні map-файли загальнодоступні, це означає, що будь-який розробник може отримати оригінал вашого вихідного коду і знайти конфіденційну інформацію, наприклад:

  • Посилання на внутрішні чи приховані сторінки адміністратора
  • API ключі
  • Конфіденційні маршрути чи IP-адреси
  • Параметри входу.

Щоб запобігти такому несанкціонованому доступу, рекомендується надавати доступ до maps-файлів з сервера тільки вашій команді розробників.

Джерела:

Перегляньте наші послуги тестування на проникнення, щоб запобігти цьому та багатьом іншим видам помилок безпеки.

By Pakurity on Sat Mar 13 2021

Featured Articles

This website uses cookies to give you the best experience. Terms & Conditions