国产睡熟迷奷白丝护士系列精品,中文色字幕网站,免费h网站在线观看的,亚洲开心激情在线

      <sup id="hb9fh"></sup>
      

        1. 

          1. 
  
            
  
            
    
            
      
            千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機構(gòu)
            
      
    
            
    
            
      
            
        手機站
        
            
          
            
            千鋒教育
            
            千鋒學(xué)習(xí)站 | 隨時隨地免費學(xué)
            
          
            
          
            
            千鋒教育
            
            掃一掃進入千鋒手機站
            
          
            
        
            
      
            
      
      
      
      
            
        領(lǐng)取全套視頻
        
            
          千鋒教育
          
            關(guān)注千鋒學(xué)習(xí)站小程序
            隨時隨地免費學(xué)習(xí)課程
            
        
            
      
            
    
            
  
            

            
  

  


  
  
  
  
            
    
            
	 
            
    
    當前位置:首頁
         > 
    技術(shù)干貨
         > 梳理webpack漏洞  
            
      
            
        
            
          
            
            
            
              
            
                
            梳理webpack漏洞
            
                
            
                  
            
                    來源:千鋒教育
                  
            
                  
            發(fā)布人:xqq
            
                  
            
                    時間: 2023-11-21 11:37:53                    1700537873
                  
            

                  
                
            
              
            
              
            一、目前存在的webpack漏洞
            

            1、代碼注入漏洞
            

            由于webpack在處理模塊時,會將特定注釋當作webpack的配置項進行解析,因此攻擊者可以利用這一點在注釋中注入惡意代碼,導(dǎo)致系統(tǒng)被攻擊。
            

            
// webpack.config.js
/* eslint-disable */
const webpack = require("webpack");
const HtmlWebpackPlugin = require("html-webpack-plugin");

/* <%= if(attack) {%> */
const sourceMapConfig = require("./sourcemap.json");
/*<%}%>*/

module.exports = {
  mode: "development",
  devtool: "source-map",
  entry: "./src/index.js",
  output: {
    filename: "main.js",
  },
  plugins: [new HtmlWebpackPlugin()],
};

            


            2、路徑穿越漏洞
            

            在webpack配置中,output.path和各個loader的output路徑可以配置為絕對路徑或相對路徑,攻擊者可以通過改變?nèi)肟谖募穆窂交蚰K的引用路徑,穿越目錄到達任意位置,并進行讀取、修改或刪除等操作。
            

            
// webpack.config.js
module.exports = {
  entry: __dirname + "/app/main.js",
  output: {
    path: __dirname + "/build",
    filename: "bundle.js",
  },
  module: {
    rules: [
      {
        test: /\.(png|svg|jpg|gif)$/,
        use: ["file-loader"],
        outputPath: "../../img", // 存在漏洞
      },
    ],
  },
};

            


            二、防范措施
            

            1、避免使用eval等會將字符串轉(zhuǎn)為代碼執(zhí)行的方式,同時建議正式環(huán)境關(guān)閉devtool配置。
            

            
// webpack.config.js
module.exports = {
  devtool: false,
};

            


            2、設(shè)置resolve.modules配置為絕對路徑,限制模塊的搜索范圍,防止路徑穿越漏洞。
            

            
// webpack.config.js
module.exports = {
  resolve: {
    modules: [path.resolve(__dirname, "app"), "node_modules"],
  },
};

            


            3、使用webpack相關(guān)插件或loader進行安全檢查,如webpack-validator、eslint-loader等。
            

            
// webpack.config.js
const { validate } = require("webpack");
const { resolve } = require("path");

module.exports = validate({
  // ...
  plugins: [],
});

// package.json
"eslintConfig": {
  "extends": "eslint:recommended",
  "plugins": ["security"],
  "rules": {
    "security/detect-object-injection": "warn"
  }
}

            


            三、處理已知漏洞
            

            1、路徑穿越漏洞的修復(fù)
            

            
// webpack.config.js
module.exports = {
  output: {
    path: path.resolve(__dirname, "build"), // 絕對路徑
    filename: "bundle.js",
  },
};

            


            2、注入攻擊的修復(fù)
            

            使用webpack自帶的DefinePlugin插件,對注入攻擊的預(yù)編譯代碼進行過濾,避免攻擊者注入可執(zhí)行代碼。
            

            
// webpack.config.js
new webpack.DefinePlugin({
  "process.env": {
    NODE_ENV: JSON.stringify(process.env.NODE_ENV),
  },
});

            


            四、小結(jié)
            

            webpack作為前端打包工具,在安全方面的漏洞需要開發(fā)者和社區(qū)共同努力解決。在使用webpack進行工程開發(fā)時,建議按照以上方法進行規(guī)避和處理,保障應(yīng)用運行時的安全性。
                        
            
              
            
                tags:                shadowcss
                              
            
              
            
                聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
              
            
              
            
                
            
                  
            10年以上業(yè)內(nèi)強師集結(jié),手把手帶你蛻變精英
            
                  
            
                    
                    
                  
            
                  
            
                    
                    
                  
            
                  
            請您保持通訊暢通,專屬學(xué)習(xí)老師24小時內(nèi)將與您1V1溝通
            
                  
            
                    免費領(lǐng)取
            
                  
            
                
            
                
            
                  
            今日已有369人領(lǐng)取成功
            
                  
            
                    
            
                      
            
                        劉同學(xué) 138****2860 剛剛成功領(lǐng)取
                      
            
                      
            
                        王同學(xué) 131****2015 剛剛成功領(lǐng)取
                      
            
                      
            
                        張同學(xué) 133****4652 剛剛成功領(lǐng)取
                      
            
                      
            
                        李同學(xué) 135****8607 剛剛成功領(lǐng)取
                      
            
                      
            
                        楊同學(xué) 132****5667 剛剛成功領(lǐng)取
                      
            
                      
            
                        岳同學(xué) 134****6652 剛剛成功領(lǐng)取
                      
            
                      
            
                        梁同學(xué) 157****2950 剛剛成功領(lǐng)取
                      
            
                      
            
                        劉同學(xué) 189****1015 剛剛成功領(lǐng)取
                      
            
                      
            
                        張同學(xué) 155****4678 剛剛成功領(lǐng)取
                      
            
                      
            
                        鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
                      
            
                      
            
                        董同學(xué) 138****2867 剛剛成功領(lǐng)取
                      
            
                      
            
                        周同學(xué) 136****3602 剛剛成功領(lǐng)取
                      
            
                    
            
                  
            
                
            
              
            
            
            
            
            
                            
            
                
            
                
            上一篇
            
                GUID/UUID詳解
              
            
                            
            
                
            
                
            下一篇
            
                TrueNAS下載詳解
              
            
                          
            
            
            
            
            
              
            
                
            
                  相關(guān)推薦HOT