敏感信息泄漏 - Js文件泄漏敏感信息

  由于开发人员的疏忽,将配置信息和API密钥硬编码到JavaScript文件中,导致敏感信息泄漏,可能引发数据被恶意获取、未经授权的访问、服务滥用等严重安全问题,危害系统和用户数据的安全性

漏洞场景:登录通过前端校验(硬编码)

点击访问链接:

登录校验硬编码
tips
  项目短期内交付,开发者图方便可能会将登录的账号密码直接硬编码在前端

缺陷代码

漏洞场景:Webpack打包导致云密钥泄漏

点击访问链接:

chunk-0226s3f2.57e3ed6f.js
tips
  开发在使用webpack工具打包前端项目时 使用dev开发环境,带出配置信息(前后端分离流行后经常存在的疏忽点)
  真实漏洞场景下,可以在前端看到webapck目录,以及对应源代码……

缺陷代码