vue應用,大部分會使用webpack進行打包,如果沒有正確配置,就會導致vue源碼泄露。
webpack是一個JavaScript應用程序的靜態資源打包器(module bundler)。它會遞歸構建一個依賴關系圖(dependency graph),其中包含應用程序需要的每個模塊,然后將所有這些模塊打包成一個或多個bundle。
可以直接使用瀏覽器的F12調試模式進行查看,我們對vue的源碼泄露並沒有什么興趣,感興趣的是泄露的各種信息如API、加密算法、管理員郵箱、內部功能等等。
下圖泄露了全部的API。
很多vue應用都是先渲染頁面再判斷是否登陸!根據這個小缺陷,我們首先可以查看相關功能,或者利用 Burpsuite 修改驗證用戶的返回包,然后爬蟲爬一下API,分析一下參數,偶爾會遇到沒有權限驗證的接口,或者會有注入、XSS之類的漏洞。