source map
source map文件是js文件压缩后，文件的变量名替换对应、变量所在位置等元信息数据文件，一般这种文件和min.js主文件放在同一个目录下。 比如压缩后原变量是map，压缩后通过变量替换规则可能会被替换成a，这时source map文件会记录下这个mapping的信息，这样的好处就是说，在调试的时候，如果有一些JS报错，那么浏览器会通过解析这个map文件来重新merge压缩后的js,使开发者可以用未压缩前的代码来调试

漏洞风险
攻击者可以通过泄露的前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等，或者接口API可以尝试未授权漏洞，拼接接口越权漏洞，查找源代码中关键字去GitHub查找程序源码进行代码审计。

渗透过程
使用Burp suite抓包，搜索js.map

其实还有更简单的工具chrome插件source detecotor
SourceDetector/app at master · SunHuawei/SourceDetector · GitHub

下载好js.map文件后就是逆向还原操作，我们用到的工具reverse-sourcemap

安装reverse-sourcemap

winget install node.js
npm install --global reverse-sourcemap
使用reverse-sourcemap还原代码
 
reverse-sourcemap -o aaa -v XXXX.js.map
-o：还原后的目录，-v：需要还原的文件
 由于使用的是win系统这里还有一个坑，写绝对路径会报错
 
 解决方法，把js.map文件和还原目录放在一个路径下，cmd先进入路径
 
 查看还原的前端代码
 
 
1.在项目路径下修改config/index.js中build对象productionSourceMap: false；
 2.建议删除或禁止访问正式环境中的js.map文件
				
一、前言 一个微小的漏洞，经过攻击者的巧妙而持久的利用，也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此，攻击者不仅可以轻松收集用户手机号，姓名等隐私信息，更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 
二、漏洞成因 
JavaScript作为一种相当简单但功能强大的客户端脚本语言，本质是一种解释型语言。所以，其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言（如ASP、PHP）以及编译型语言（如C
				
今天思考下前端源码安全的东西（不是前端安全，只是针对于源码部分）。在我看来，源码安全有两点，一是防止抄袭，二是防止被攻破。实际上讲，前端的代码大多是没有什么可抄袭性，安全更是形同虚设的（任何前端输入都是不能相信的）。但如果还是想防止源码被查看，HTML、CSS并不能做什么，最终都会用露出来（最简单用Chrome开发者工具就可以看到），所以只能针对JS做文件的压缩合并和混淆。
其实就前...
				
.js.map文件泄露/Springboot信息泄露是一种常见的安全漏洞，可能导致敏感信息泄露。.js.map文件通常用于调试JavaScript代码，包含了源代码和调试信息。如果这些文件未经适当保护而被暴露在公共网络上，攻击者可以通过查看这些文件来获取关键代码、URL和其他敏感信息。
与此同时，Spring Boot是一个流行的Java应用程序框架，但在错误配置的情况下，可能会导致敏感信息的泄露。例如，如果开发人员在应用程序中使用了默认的配置而没有适当地对其进行安全性检查和配置，可能会导致敏感信息。
				
目录标题0x0 前言0x1 .git源码泄露0x2 .svn源码泄露0x3 DS_Store 文件泄露0x4 .hg 源码泄露0x5 常见编辑器备份文件泄露0x6 WEB-INF/web.xml泄露0x7 网站备份文件泄露0x8 cvs文件泄露
0x0 前言
关于WEB安全，这两天做题碰到了.git源码泄露的问题，刚好自己又记得不牢，所以写了个笔记，记录下关于常见的源码泄露。
0x1 .git源码泄露
当在一个空目录执行 git init 时，Git 会创建一个 .git 目录。 这个目录包含所有的 Git