本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全等违法行为后果自负,与本号及作者无关。
-
前言
什么是webpack
webpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件
集合
为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
使用webpack的危害是什么:
如果可以获得程序的js代码,那么就可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序
源码
进行代码审计。
2.如何发现目标网站是否定是webpack打包的站点。
方法一:Wappalyzer插件识别
方法二:使用f12,调试器查看到下方有webpack的字样说明,使用的是webpack打包的站点,
注意:如何调试器中没有webpack,应该怎么办???
如果在burp爬取文件的过程中如果看到有类似于app.xxxx.js的文件那么就是使用了webpack进行打包的网站,在调试器中没有找到webpack的字样,这个时候可以看app.xxxx.js中最下方舒服有app.xxx.js.map文件,如图
如果存在该文件外面将他下载下来,还原代码
npminstall --global reverse-sourcemap
curl-O https://127.0.0.1/*.js.map
reverse-sourcemap--output-dir ./test xxx.js.map
得到js
这里使用VisualStudio进行查看
全局搜索url,或者get/post字样
在js中找接口地址
/hr/interview/plan/resume
通过前期抓包爆破用户名密码得知
其api的接口地址上一层目录可能为
/rest/api/
那么根据js中的接口地址进行拼接的化那么就是
/rest/api/+/hr/interview/plan/resume
及最后的目录是:
http://127.0.0.1:*****/rest/api/hr/interview/plan/resume
尝试访问
发现出现如下报错页面,可能接口没用了
但是从这个页面看,判断可能使用的是springboot框架,那么就可能有swagger接口
这里使用到一个插件叫:APIKIT
https://github.com/API-Security/APIKit
在请求包页面使用如图
开启扫描,扫描后如果存在swagger接口的化就会扫描出来
发现一个excel表下载下来
这时才明白为什么之前一直输参数获取不到数据
像这种一直输入数字,他只返回操作成功获取不到数据,当看到这个excel文件才明白
将excel表格中的编号输入进去,成功获取到信息
敏感信息泄露到手。
文件上传接口上传文件
这种类型的网站和系统漏洞还是挺多的。一般js中大多都会泄露很多接口地址。也是通过这个方法还是水了几张CNVD证书的!嘻嘻嘻。
蟹蟹,大家观看
原文始发于微信公众号(云梦安全):webpack-API安全测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论