政府部门网站开发项目建设背景网站备案查询工信部官网

先看看webpack中文网给出的解释
webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。
如果未正确配置，会生成一个.map文件，它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码，从而可能导致敏感信息的泄露等风险
那么就是说，存在webpack信息泄露问题的网站目录中，存在.map文件，该文件内包含了所有的js文件
本身还是要从js文件中提取到敏感信息(用户名，密码，接口等)，所以这里提供两种利用方式

利用方式

利用方式一

findsomething
此工具主要是从网站的js中提取敏感信息，安装对应浏览器插件即可。

利用方式二

Packer Fuzzer
该工具会自动检测网站是否存在webpack信息泄露问题，并且自动提取对应目标站点的API以及API对应的参数内容

这里不介绍安装方式，按照文档操作即可，可能会出现下面问题，不影响运行，忽略即可

那么说一下利用过程，遇到一个网站，这里以webpack中文网(https://www.webpackjs.com/)为例
首先使用wappalyzer发现该网站使用了webpack模块

使用Packer-Fuzzer进行检测利用

在reports目录下查看对应文件名的html文档(目标url+随机数命名)，存在一个中危，但是是误报

使用findsomething,发现了很多路径，直接复制路径

然后使用burpsuite的intruder模块，进行发送即可，记得关闭下方的payload ending即可，然后在根据页面返回状态码以及返回数据包的大小不同进行判定