91aaa在线国内观看,亚洲AV午夜福利精品一区二区,久久偷拍人视频,久久播这里有免费视播

<strong id="fvuar"></strong>


    • 

    <sub id="fvuar"><dl id="fvuar"><em id="fvuar"></em></dl></sub>
      2. 
  
      
  
      
    
      
      
      千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)
      
      
    
      
    
      
      
      
        手機(jī)站
        
      
          
      
            千鋒教育
            
      千鋒學(xué)習(xí)站 | 隨時(shí)隨地免費(fèi)學(xué)
      
          
      
          
      
            千鋒教育
            
      掃一掃進(jìn)入千鋒手機(jī)站
      
          
      
        
      
      
      
      
      
      
      
      
        領(lǐng)取全套視頻
        
      
          千鋒教育
          
      關(guān)注千鋒學(xué)習(xí)站小程序
      隨時(shí)隨地免費(fèi)學(xué)習(xí)課程
      
        
      
      
      
    
      
  
      

      
  

  


  
  
  
  
      
    
      
	 
      
    
    當(dāng)前位置:首頁(yè)
         > 
    技術(shù)干貨
         > 梳理webpack漏洞  
      
      
      
        
      
          
      
            
      
              
      
                
      梳理webpack漏洞
      
                
      
                  
      
                    來(lái)源:千鋒教育
                  
      
                  
      發(fā)布人:xqq
      
                  
      
                    時(shí)間: 2023-11-21 11:37:53                    1700537873
                  
      

                  
                
      
              
      
              
      一、目前存在的webpack漏洞
      

      1、代碼注入漏洞
      

      由于webpack在處理模塊時(shí),會(huì)將特定注釋當(dāng)作webpack的配置項(xiàng)進(jìn)行解析,因此攻擊者可以利用這一點(diǎn)在注釋中注入惡意代碼,導(dǎo)致系統(tǒng)被攻擊。
      

      
// webpack.config.js
/* eslint-disable */
const webpack = require("webpack");
const HtmlWebpackPlugin = require("html-webpack-plugin");

/* <%= if(attack) {%> */
const sourceMapConfig = require("./sourcemap.json");
/*<%}%>*/

module.exports = {
  mode: "development",
  devtool: "source-map",
  entry: "./src/index.js",
  output: {
    filename: "main.js",
  },
  plugins: [new HtmlWebpackPlugin()],
};

      


      2、路徑穿越漏洞
      

      在webpack配置中,output.path和各個(gè)loader的output路徑可以配置為絕對(duì)路徑或相對(duì)路徑,攻擊者可以通過(guò)改變?nèi)肟谖募穆窂交蚰K的引用路徑,穿越目錄到達(dá)任意位置,并進(jìn)行讀取、修改或刪除等操作。
      

      
// webpack.config.js
module.exports = {
  entry: __dirname + "/app/main.js",
  output: {
    path: __dirname + "/build",
    filename: "bundle.js",
  },
  module: {
    rules: [
      {
        test: /\.(png|svg|jpg|gif)$/,
        use: ["file-loader"],
        outputPath: "../../img", // 存在漏洞
      },
    ],
  },
};

      


      二、防范措施
      

      1、避免使用eval等會(huì)將字符串轉(zhuǎn)為代碼執(zhí)行的方式,同時(shí)建議正式環(huán)境關(guān)閉devtool配置。
      

      
// webpack.config.js
module.exports = {
  devtool: false,
};

      


      2、設(shè)置resolve.modules配置為絕對(duì)路徑,限制模塊的搜索范圍,防止路徑穿越漏洞。
      

      
// webpack.config.js
module.exports = {
  resolve: {
    modules: [path.resolve(__dirname, "app"), "node_modules"],
  },
};

      


      3、使用webpack相關(guān)插件或loader進(jìn)行安全檢查,如webpack-validator、eslint-loader等。
      

      
// webpack.config.js
const { validate } = require("webpack");
const { resolve } = require("path");

module.exports = validate({
  // ...
  plugins: [],
});

// package.json
"eslintConfig": {
  "extends": "eslint:recommended",
  "plugins": ["security"],
  "rules": {
    "security/detect-object-injection": "warn"
  }
}

      


      三、處理已知漏洞
      

      1、路徑穿越漏洞的修復(fù)
      

      
// webpack.config.js
module.exports = {
  output: {
    path: path.resolve(__dirname, "build"), // 絕對(duì)路徑
    filename: "bundle.js",
  },
};

      


      2、注入攻擊的修復(fù)
      

      使用webpack自帶的DefinePlugin插件,對(duì)注入攻擊的預(yù)編譯代碼進(jìn)行過(guò)濾,避免攻擊者注入可執(zhí)行代碼。
      

      
// webpack.config.js
new webpack.DefinePlugin({
  "process.env": {
    NODE_ENV: JSON.stringify(process.env.NODE_ENV),
  },
});

      


      四、小結(jié)
      

      webpack作為前端打包工具,在安全方面的漏洞需要開(kāi)發(fā)者和社區(qū)共同努力解決。在使用webpack進(jìn)行工程開(kāi)發(fā)時(shí),建議按照以上方法進(jìn)行規(guī)避和處理,保障應(yīng)用運(yùn)行時(shí)的安全性。
                  
      
              
      
                tags:                shadowcss
                              
      
              
      
                聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
              
      
              
      
                
      
                  
      10年以上業(yè)內(nèi)強(qiáng)師集結(jié),手把手帶你蛻變精英
      
                  
      
                    
                    
                  
      
                  
      
                    
                    
                  
      
                  
      請(qǐng)您保持通訊暢通,專(zhuān)屬學(xué)習(xí)老師24小時(shí)內(nèi)將與您1V1溝通
      
                  
      
                    免費(fèi)領(lǐng)取
      
                  
      
                
      
                
      
                  
      今日已有369人領(lǐng)取成功
      
                  
      
                    
      
                      
      
                        劉同學(xué) 138****2860 剛剛成功領(lǐng)取
                      
      
                      
      
                        王同學(xué) 131****2015 剛剛成功領(lǐng)取
                      
      
                      
      
                        張同學(xué) 133****4652 剛剛成功領(lǐng)取
                      
      
                      
      
                        李同學(xué) 135****8607 剛剛成功領(lǐng)取
                      
      
                      
      
                        楊同學(xué) 132****5667 剛剛成功領(lǐng)取
                      
      
                      
      
                        岳同學(xué) 134****6652 剛剛成功領(lǐng)取
                      
      
                      
      
                        梁同學(xué) 157****2950 剛剛成功領(lǐng)取
                      
      
                      
      
                        劉同學(xué) 189****1015 剛剛成功領(lǐng)取
                      
      
                      
      
                        張同學(xué) 155****4678 剛剛成功領(lǐng)取
                      
      
                      
      
                        鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
                      
      
                      
      
                        董同學(xué) 138****2867 剛剛成功領(lǐng)取
                      
      
                      
      
                        周同學(xué) 136****3602 剛剛成功領(lǐng)取
                      
      
                    
      
                  
      
                
      
              
      
            
      
            
      
                            
      
                
      
                
      上一篇
      
                GUID/UUID詳解
              
      
                            
      
                
      
                
      下一篇
      
                TrueNAS下載詳解
              
      
                          
      
            
            
            
      
              
      
                
      
                  相關(guān)推薦HOT
                
      
                
              
      
              
      
                                
                  
      
                    
                  
      
                  
      
                    
      libnsl的全面解析
      
                    
      
                      一、libnsl是什么libnsl是Unix/Linux系統(tǒng)下的一個(gè)開(kāi)源C語(yǔ)言庫(kù),全稱(chēng)為“network services library”,提供了對(duì)許多網(wǎng)絡(luò)服務(wù)程序的網(wǎng)絡(luò)接口調(diào)用...詳情>>
                    
      
                    2023-11-21 14:37:53
                  
      
                      
                                
                  
      
                    
                  
      
                  
      
                    
      iOS折線圖的全面解析
      
                    
      
                      一、iOS折線圖AppiOS折線圖App是一款基于iOS系統(tǒng)的折線圖制作軟件。該軟件提供了豐富的圖表樣式、數(shù)據(jù)格式化選項(xiàng)和導(dǎo)出功能,使得用戶(hù)能夠通過(guò)...詳情>>
                    
      
                    2023-11-21 14:09:05
                  
      
                      
                                
                  
      
                    
                  
      
                  
      
                    
      touchmove事件
      
                    
      
                      一、touchmove事件的定義touchmove事件是指手指在觸摸屏上移動(dòng)時(shí)所觸發(fā)的事件,在移動(dòng)時(shí)會(huì)不斷地觸發(fā)該事件,可以通過(guò)該事件來(lái)進(jìn)行拖拽、滑動(dòng)等...詳情>>
                    
      
                    2023-11-21 13:36:41
                  
      
                      
                                
                  
      
                    
                  
      
                  
      
                    
      深入理解ES OR查詢(xún)
      
                    
      
                      ES OR查詢(xún)是一種常見(jiàn)的查詢(xún)方式,它可以幫助我們?cè)诙鄠€(gè)字段中查找需要的信息。本文將從以下幾個(gè)方面詳細(xì)闡述ES OR查詢(xún)的使用方法和功能。一、基...詳情>>
                    
      
                    2023-11-21 13:22:17
                  
      
                      
                                
                  
      
                    
                  
      
                  
      
                    
      如何在gdb中刪除斷點(diǎn)
      
                    
      
                      gdb是一個(gè)強(qiáng)大的調(diào)試工具,開(kāi)發(fā)人員可以使用它來(lái)調(diào)試程序以查找并解決錯(cuò)誤。gdb支持?jǐn)帱c(diǎn)功能,即在程序運(yùn)行時(shí)中斷并停止執(zhí)行。閱讀本文,在不同...詳情>>
                    
      
                    2023-11-21 12:57:05