百科狗-知识改变命运!
--

梳理webpack漏洞

梵高1年前 (2023-11-21)阅读数 27#技术干货
文章标签漏洞

梳理webpack漏洞

一、目前存在的webpack漏洞

1、代码注入漏洞

由于webpack在处理模块时,会将特定注释当作webpack的配置项进行解析,因此攻击者可以利用这一点在注释中注入恶意代码,导致系统被攻击。

// webpack.config.js
/* eslint-disable */
const webpack = require("webpack");
const HtmlWebpackPlugin = require("html-webpack-plugin");

/*  */
const sourceMapConfig = require("./sourcemap.json");
/**/

module.exports = {
  mode: "development",
  devtool: "source-map",
  entry: "./src/index.js",
  output: {
    filename: "main.js",
  },
  plugins: [new HtmlWebpackPlugin()],
};

2、路径穿越漏洞

在webpack配置中,output.path和各个loader的output路径可以配置为绝对路径或相对路径,攻击者可以通过改变入口文件的路径或模块的引用路径,穿越目录到达任意位置,并进行读取、修改或删除等操作。

// webpack.config.js
module.exports = {
  entry: __dirname + "/app/main.js",
  output: {
    path: __dirname + "/build",
    filename: "bundle.js",
  },
  module: {
    rules: [
      {
        test: /\.(png|svg|jpg|gif)$/,
        use: ["file-loader"],
        outputPath: "../../img", // 存在漏洞
      },
    ],
  },
};

二、防范措施

1、避免使用eval等会将字符串转为代码执行的方式,同时建议正式环境关闭devtool配置。

// webpack.config.js
module.exports = {
  devtool: false,
};

2、设置resolve.modules配置为绝对路径,限制模块的搜索范围,防止路径穿越漏洞。

// webpack.config.js
module.exports = {
  resolve: {
    modules: [path.resolve(__dirname, "app"), "node_modules"],
  },
};

3、使用webpack相关插件或loader进行安全检查,如webpack-validator、eslint-loader等。

// webpack.config.js
const { validate } = require("webpack");
const { resolve } = require("path");

module.exports = validate({
  // ...
  plugins: [],
});

// package.json
"eslintConfig": {
  "extends": "eslint:recommended",
  "plugins": ["security"],
  "rules": {
    "security/detect-object-injection": "warn"
  }
}

三、处理已知漏洞

1、路径穿越漏洞的修复

// webpack.config.js
module.exports = {
  output: {
    path: path.resolve(__dirname, "build"), // 绝对路径
    filename: "bundle.js",
  },
};

2、注入攻击的修复

使用webpack自带的DefinePlugin插件,对注入攻击的预编译代码进行过滤,避免攻击者注入可执行代码。

// webpack.config.js
new webpack.DefinePlugin({
  "process.env": {
    NODE_ENV: JSON.stringify(process.env.NODE_ENV),
  },
});

四、小结

webpack作为前端打包工具,在安全方面的漏洞需要开发者和社区共同努力解决。在使用webpack进行工程开发时,建议按照以上方法进行规避和处理,保障应用运行时的安全性。

鹏仔微信 15129739599 鹏仔QQ344225443 鹏仔前端 pjxi.com 共享博客 sharedbk.com

免责声明:我们致力于保护作者版权,注重分享,当前被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!邮箱:344225443@qq.com)

图片声明:本站部分配图来自网络。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!

内容声明:本文中引用的各种信息及资料(包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主体(包括但不限于公司、媒体、协会等机构)的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理!本站为非盈利性质站点,本着为中国教育事业出一份力,发布内容不收取任何费用也不接任何广告!)