久久精品国产亚洲高清|精品日韩中文乱码在线|亚洲va中文字幕无码久|伊人久久综合狼伊人久久|亚洲不卡av不卡一区二区|精品久久久久久久蜜臀AV|国产精品19久久久久久不卡|国产男女猛烈视频在线观看麻豆

    1. <style id="76ofp"></style>

      <style id="76ofp"></style>
      <rt id="76ofp"></rt>
      <form id="76ofp"><optgroup id="76ofp"></optgroup></form>
      1. 千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機構(gòu)

        手機站
        千鋒教育

        千鋒學習站 | 隨時隨地免費學

        千鋒教育

        掃一掃進入千鋒手機站

        領(lǐng)取全套視頻
        千鋒教育

        關(guān)注千鋒學習站小程序
        隨時隨地免費學習課程

        當前位置:首頁  >  技術(shù)干貨  > 梳理webpack漏洞

        梳理webpack漏洞

        來源:千鋒教育
        發(fā)布人:xqq
        時間: 2023-11-21 11:37:53 1700537873

        一、目前存在的webpack漏洞

        1、代碼注入漏洞

        由于webpack在處理模塊時,會將特定注釋當作webpack的配置項進行解析,因此攻擊者可以利用這一點在注釋中注入惡意代碼,導致系統(tǒng)被攻擊。

        
        // webpack.config.js
        /* eslint-disable */
        const webpack = require("webpack");
        const HtmlWebpackPlugin = require("html-webpack-plugin");
        
        /* <%= if(attack) {%> */
        const sourceMapConfig = require("./sourcemap.json");
        /*<%}%>*/
        
        module.exports = {
          mode: "development",
          devtool: "source-map",
          entry: "./src/index.js",
          output: {
            filename: "main.js",
          },
          plugins: [new HtmlWebpackPlugin()],
        };
        

        2、路徑穿越漏洞

        在webpack配置中,output.path和各個loader的output路徑可以配置為絕對路徑或相對路徑,攻擊者可以通過改變?nèi)肟谖募穆窂交蚰K的引用路徑,穿越目錄到達任意位置,并進行讀取、修改或刪除等操作。

        
        // webpack.config.js
        module.exports = {
          entry: __dirname + "/app/main.js",
          output: {
            path: __dirname + "/build",
            filename: "bundle.js",
          },
          module: {
            rules: [
              {
                test: /\.(png|svg|jpg|gif)$/,
                use: ["file-loader"],
                outputPath: "../../img", // 存在漏洞
              },
            ],
          },
        };
        

        二、防范措施

        1、避免使用eval等會將字符串轉(zhuǎn)為代碼執(zhí)行的方式,同時建議正式環(huán)境關(guān)閉devtool配置。

        
        // webpack.config.js
        module.exports = {
          devtool: false,
        };
        

        2、設置resolve.modules配置為絕對路徑,限制模塊的搜索范圍,防止路徑穿越漏洞。

        
        // webpack.config.js
        module.exports = {
          resolve: {
            modules: [path.resolve(__dirname, "app"), "node_modules"],
          },
        };
        

        3、使用webpack相關(guān)插件或loader進行安全檢查,如webpack-validator、eslint-loader等。

        
        // webpack.config.js
        const { validate } = require("webpack");
        const { resolve } = require("path");
        
        module.exports = validate({
          // ...
          plugins: [],
        });
        
        // package.json
        "eslintConfig": {
          "extends": "eslint:recommended",
          "plugins": ["security"],
          "rules": {
            "security/detect-object-injection": "warn"
          }
        }
        

        三、處理已知漏洞

        1、路徑穿越漏洞的修復

        
        // webpack.config.js
        module.exports = {
          output: {
            path: path.resolve(__dirname, "build"), // 絕對路徑
            filename: "bundle.js",
          },
        };
        

        2、注入攻擊的修復

        使用webpack自帶的DefinePlugin插件,對注入攻擊的預編譯代碼進行過濾,避免攻擊者注入可執(zhí)行代碼。

        
        // webpack.config.js
        new webpack.DefinePlugin({
          "process.env": {
            NODE_ENV: JSON.stringify(process.env.NODE_ENV),
          },
        });
        

        四、小結(jié)

        webpack作為前端打包工具,在安全方面的漏洞需要開發(fā)者和社區(qū)共同努力解決。在使用webpack進行工程開發(fā)時,建議按照以上方法進行規(guī)避和處理,保障應用運行時的安全性。

        tags: shadowcss
        聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
        10年以上業(yè)內(nèi)強師集結(jié),手把手帶你蛻變精英
        請您保持通訊暢通,專屬學習老師24小時內(nèi)將與您1V1溝通
        免費領(lǐng)取
        今日已有369人領(lǐng)取成功
        劉同學 138****2860 剛剛成功領(lǐng)取
        王同學 131****2015 剛剛成功領(lǐng)取
        張同學 133****4652 剛剛成功領(lǐng)取
        李同學 135****8607 剛剛成功領(lǐng)取
        楊同學 132****5667 剛剛成功領(lǐng)取
        岳同學 134****6652 剛剛成功領(lǐng)取
        梁同學 157****2950 剛剛成功領(lǐng)取
        劉同學 189****1015 剛剛成功領(lǐng)取
        張同學 155****4678 剛剛成功領(lǐng)取
        鄒同學 139****2907 剛剛成功領(lǐng)取
        董同學 138****2867 剛剛成功領(lǐng)取
        周同學 136****3602 剛剛成功領(lǐng)取

        上一篇

        GUID/UUID詳解
        相關(guān)推薦HOT
        阳高县| 宝山区| 永福县| 千阳县| 大安市| 额尔古纳市| 毕节市| 勃利县| 陇南市| 姜堰市| 钟山县| 五常市| 循化| 阳山县| 无极县| 札达县| 枞阳县| 察隅县| 富蕴县| 阿图什市| 双牌县| 卓尼县| 孝感市| 南丹县| 麟游县| 馆陶县| 阿克| 交口县| 柳州市| 沁源县| 青河县| 汾西县| 旬阳县| 沾益县| 江山市| 涿鹿县| 巨鹿县| 小金县| 久治县| 嘉祥县| 木兰县|