枫少@KillBoy
376,229字数 309阅读1分1秒阅读模式
AI智能摘要
你是否知道,前端页面的一个隐藏文件,竟能让攻击者还原出完整的JavaScript源码?本文揭秘利用burp-clj脚本自动检测并解析webpack生成的.map文件的技术细节。只需简单配置,Burp Suite即可在渗透测试中自动抓取源码、生成安全报告。适合安全研究人员和红队成员提升效率,同时警示开发者勿将.map文件暴露于生产环境。技术无罪,但用之有责,合法合规是底线。
— AI 生成的文章内容摘要
1 简介
前端打包js代码时大部分会使用webpack,如果发布时没有删除掉生成的.map文件,就可以从map文件中直接获取到开发时的js源码.
使用这个burp-clj脚本可以自动检测访问的js链接是否包含map文件,并下载map文件,还原js源码.
2 安装方法
参考之前文章burp-clj插件的安装方法,加载脚本https://github.com/ntestoc3/burp-scripts
图1 加载脚本源,并启用webpack脚本.
建议git clone到本地,然后加载本地目录,否则每次启动burp都要从git同步代码,网络不好会造成速度很慢.
3 使用方法
设置webpack的保存目录:
图2 设置webpack保存目录
通过burp代理访问目标站点,如果webpack脚本发现存在js.map文件,就会自动下载,并解包js源码到设置的目录中.并添加相应的issue.
图3 使用方法
4 最后
本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》, 勿将此工具用于非授权的测试, 程序开发者不负任何连带法律责任。
山东省临沂市 1F
这脚本对挖洞挺有用的,能省不少手动操作的时间。
辽宁省朝阳市 B1
@ 旧城故人 手动下map真的烦死了,这脚本能自动还原源码太省事了。
韩国 2F
之前搞前端审计总得手动下map,有这个方便多了。
新西兰 3F
有没有人试过在最新版burp上跑?兼容性咋样。
澳大利亚 4F
感觉设置保存目录那块描述得不够清楚,新手可能卡住。
贵州省遵义市 5F
我之前也遇到过网络差同步慢的问题,本地加载确实稳。
吉林省延边州延吉市 6F
github链接404了?作者能更新下吗。
台湾省 B1
@ 作业本没写 链接好像换仓库了,去作者主页找找新地址吧。
越南 7F
这种工具确实能提升效率,但用的时候得注意法律边界。
湖北省武汉市 8F
要是目标站用了cdn缓存,这脚本还能抓到map文件不?
日本 B1
@ 胶带 cdn缓存的话得看回源策略,如果map文件没被缓存还是能抓到的。
日本 9F
图片里的界面看着挺直观的,功能按钮一目了然。
浙江省台州市 10F
收藏了,回头测试环境搭起来试试效果。
江苏省苏州市 11F
burp2024.3试过,跑起来没问题,就是偶尔卡一下。
印度 B1
@ The Whisperer 兼容性还行,但希望加个批量导出源码的功能
湖北省武汉市 12F
这玩意儿对渗透测试新手挺友好的,不过得先搞懂source map原理。
广东省珠海市 13F
前几天刚用类似方法挖到一个信息泄露,map文件真不能随便放线上啊。
北京市 14F
保存目录那块确实说得有点模糊,建议加个路径示例截图。
韩国 15F
hhh本地加载稳如老狗,再也不用等github转圈了。
印度 16F
有人遇到解析出来的源码乱码吗?是不是编码问题?
北京市 17F
感觉一般,功能是有的,但界面交互可以再优化点。
浙江省杭州市 18F
这脚本真能省不少事,刚试了下解析成功了👍
上海市 19F
本地加载确实快,再也不用看github转圈干等了
湖北省武汉市 20F
求问保存目录是填绝对路径还是相对路径啊?
香港 21F
前几天审计也靠map文件挖到源码泄露,太常见了
日本 22F
界面看着还行,但卡顿有点劝退,尤其大项目
福建省泉州市石狮市 23F
burp2024.5上跑不动,是不是得降版本?
广东省东莞市 24F
新手表示照着图2设完没反应,有详细步骤吗
日本 25F
这个思路挺实用,试了下能扒到东西
台湾省桃园市 26F
乱码问题遇到了!好像是utf-8没处理好
上海市 27F
感觉功能够用,就是提示信息太少,懵
中国 28F
要是cdn缓存了.map还能抓到吗?有点担心
上海市 29F
脚本挺方便的,就是目录设置那一步得仔细看
福建省厦门市 30F
之前踩过坑,线上真别留map文件,血泪教训
韩国 31F
脚本逻辑挺清晰,不过issue生成有点慢
四川省乐山市 32F
网络差的时候同步插件真的会崩溃,建议离线