تسرب ملفات حساسة من Sourcemap

مرحباً، لقد حصلنا على مكافأة HackenProof بخصوص موقع Discourse الخاص بنا. لقد قمنا بالترقية إلى الإصدار v3.10.beta3 +155 ولكننا لم نر شيئًا ذا صلة في ملاحظات الإصدار يتعلق بالمكافأة التي تم الإبلاغ عنها لنا. هل هذا شيء جديد أم لا يدعو للقلق؟

التأثير

الخطر هو حصول المهاجم على الكود المصدري والمعلومات الحساسة، وواجهة برمجة التطبيقات غير العامة.

التوصية

الحل المؤقت هو حذف ملف .map في دليل الكود؛ الحل الدائم هو تعطيل وظيفة إنشاء ملفات الخرائط أثناء البناء.

أعتقد أنه يمكنك الرجوع إلى هذا الرابط https://docs.fluidattacks.com/criteria/vulnerabilities/236/

أعتقد أن الإجابة هي أنه لا توجد واجهة برمجة تطبيقات غير عامة. إنها موثقة في GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. وإذا كنت لا تعرف كيفية قراءتها، يمكنك دائمًا هندسة واجهة برمجة تطبيقات Discourse العكسية.

أنا حقًا أكره البريد العشوائي الأمني المزيف.

لست متأكدًا من أنهم جميعًا مزيفون، ولكن يبدو أن عددًا لا بأس به منهم يبحثون عن مشاريع استشارية. (لكن شركات المحاسبة الثماني الكبرى تفعل ذلك أيضًا، وما يبيعونه لك عادةً هو تقرير مدفوع مسبقًا يقومون بتعديله قليلاً ويتقاضون منك 20 ألف دولار.)

شكرا لملاحظاتك. لم أكن متأكدا مما إذا كانت هذه مشكلة حقيقية.

تخيل البحث عن مشروع استشاري على أساس تحذير شخص ما من تسرب الكود المصدري الخاص به … والموقع مبني على أحد أشهر المشاريع مفتوحة المصدر الموجودة

نعم، ولكن في كل مرة تصل فيها إحدى هذه الأشياء، أتلقى بريدًا إلكترونيًا من المدير التنفيذي يسأل عما إذا كان هذا شيئًا يدعو للقلق، على الرغم من أنني متقاعد رسميًا.