【网络安全】WebPack源码（前端源码）泄露 + jsmap文件还原

前言

webpack是一个JavaScript应用程序的静态资源打包器。它构建一个依赖关系图，其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包，使用webpack打包应用程序会在网站js同目录下生成 js.map文件。

漏洞风险

通过泄露的前端源代码可以查找各种信息，如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等，或者尝试未授权漏洞、拼接接口越权漏洞、查找源代码中关键字去GitHub查找程序源码进行代码审计。

寻找js.map

1、利用source-detector插件可以寻找程序中存在的js.map文件

插件的安装使用教程：【CSDN秋说】几款配合Burpsuite使用的Google插件（Wappalyzer、FindSomething、FOFAproView等）

2、在网站JS文件中用关键词寻找js.map文件

3、处理Burp的HTTP历史请求时，不对js文件进行过滤，之后再全局搜索js.map

利用

如果使用的是source detector插件，则该插件可直接对js.