现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！

正文

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

01

—

Vue使用webpack(静态资源打包器)的时候，如果未进行正确配置，会产生一个js.map文件，而这个

js.map可以通过工具来反编译还原Vue源代码，产生代码泄露

如何发现js.map

1.使用目录扫描工具，例如URLFinder，Dirsearch扫描目标网站，获得js文件(甚至可直接扫描出js.map文件)

2.访问网站的js文件，在其后面添加.map，如有泄露即可下载该js.map文件

漏洞利用

1. 安装reverse-sourcemap

   npm install --global reverse-sourcemap
   

2.检查安装是否成功

3.反编译js.map文件

reverse-sourcemap --output-dir . index.775ebd42c6d0a798a0a2.js.map

参数解释：

--output-dir . 结果输出到当前目录的webpack文件夹

漏洞修复

1.在项目路径下修改config/index.js中build对象productionSourceMap: false；

2.建议删除或禁止访问正式环境中的js.map文件；