webpack测试指南

前言：

---

本文水得一批，表哥们请绕过
现在许多网站都使用webpack对网站打包，许多前端框架也默认配置好webpack。但是开发者忽视导致存在潜在风险，在线上环境使用了开发环境的配置，或者配置了sourcemap允许在生产环境中使用

在实际渗透过程中，许多网站还是存在这种情况。通常一般是配置了devtool: 'source-map'

我们可以在js的文件名后面加上.map，如果存在该文件，我们则可以通过工具解压缩webpack

或者当我们一般看到类似这样的代码时，也基本可以对其进行解压缩

webpack解压缩：

---

方法一：

利用的工具：https://github.com/SunHuawei/SourceDetector

安装过程：（可能要开代理）

apt-get install npm
npm install gulp
npm install -g node-gyp bower
npm install -g express
git clone https://github.com/SunHuawei/SourceDetector.git
npm install
bower install
gulp

实现效果：

点击即可下载解压缩webpack：

方法二：

安装 reverse-sourcemap

npm install --global reverse-sourcemap

利用步骤：

# 下载 *.js.map  (右键查看源代码，找到 js ，在 js 后面加上 .map)
curl -O https://127.0.0.1/*.js.map
# 使用 reverse-sourcemap
reverse-sourcemap --output-dir ./test xxx.js.map

方法三：

安装 restore-source-tree

npm i -g restore-source-tree

利用过程：

restore-source-tree --out-dir <OUT_DIR> <FILE>

测试过程中发现无法得到文件，先作记录

利用 Packer-Fuzzer 进行自动化漏洞测试：

---

项目地址：https://github.com/rtcatc/Packer-Fuzzer

利用该工具支持自动模糊提取对应目标站点的API以及API对应的参数内容，并支持对：未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测

参考如下：

---

通过sourcemap解压缩webpack 实战
实战 | 记录某一天安服仔的漏洞挖掘过程