Небезпека, пов'язана з вихідними map-файлами JavaScript

Для чого нам потрібні map-файли JavaScript?

Вихідні map-файли допомагають тоді, коли ви хочете відлагодити мінімізовані файли. Вони працюють шляхом відображення зменшеного коду до його немініфікованої версії. Ви можете налагодити ці немініфіковані Javascript файли, як звичайні.

Як зловмисники можуть знайти JS map-файли?

Для початку нам треба провести огляд вихідного коду веб-сторінки і пошукати там будь-які “.js” файли. Як ви бачите на скріншоті нижче, ми знайшли файл “app-8a4b38cb30f5ecc24df1.js”:

Далі, ми змінюємо URL, додаючи “/NAME_OF_THE_SCRIPT.js”, і маємо побачити наш JS скрипт:

Нарешті, щоб побачити вихідний map-файл, ми додаємо “.map” в кінці нашого URL:

Навіщо потрібно приховувати вихідні map-файли?

Якщо ваші вихідні map-файли загальнодоступні, це означає, що будь-який розробник може отримати оригінал вашого вихідного коду і знайти конфіденційну інформацію, наприклад:

• Посилання на внутрішні чи приховані сторінки адміністратора
• API ключі
• Конфіденційні маршрути чи IP-адреси
• Параметри входу.

Щоб запобігти такому несанкціонованому доступу, рекомендується надавати доступ до maps-файлів з сервера тільки вашій команді розробників.

Джерела:

• https://blog.sentry.io/2015/10/29/debuggable-javascript-with-source-maps#private-source-maps 
• https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Webpage_Content_for_Information_Leakage

Перегляньте наші послуги тестування на проникнення, щоб запобігти цьому та багатьом іншим видам помилок безпеки.