Sourcemap sensible Dateien geleakt

Hallo, wir haben eine HackenProof-Belohnung für unsere Discourse-Site erhalten. Wir haben auf v3.10.beta3 +155 aktualisiert, aber in den Release Notes nichts Relevantes gesehen, das sich auf die gemeldete Belohnung bezieht. Ist das etwas Neues oder nicht von Belang?

Auswirkung

Die Gefahr besteht darin, dass der Angreifer den Quellcode und sensible Informationen sowie nicht-öffentliche APIs erhält.

Empfehlung

Die temporäre Lösung besteht darin, die .map-Datei im Codeverzeichnis zu löschen; die permanente Lösung besteht darin, die Funktion zur Generierung von Map-Dateien während des Builds zu deaktivieren.

Ich denke, Sie können sich auf diesen Link beziehen https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Ich denke, die Antwort ist, dass es keine nicht öffentliche API gibt. Sie ist unter GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. dokumentiert, und wenn Sie nicht wissen, wie man das liest, können Sie jederzeit die Discourse-API zurückentwickeln.

Ich hasse wirklich irreführenden Sicherheits-Spam.

Ich bin mir nicht sicher, ob sie alle gefälscht sind, aber mehr als ein paar scheinen darauf abzuzielen, Beratungsaufträge zu bekommen. (Aber die Big Eight Wirtschaftsprüfungsgesellschaften tun das auch, und was sie Ihnen normalerweise verkaufen, ist ein vorbezahlter Bericht, den sie leicht überarbeiten und Ihnen 20.000 $ in Rechnung stellen.)

Danke für Ihr Feedback. Ich war mir nicht sicher, ob dies wirklich ein Problem ist.

Stellen Sie sich vor, Sie angeln nach einem Beratungsauftrag, indem Sie jemanden warnen, dass sein Quellcode durchgesickert ist … und die Website auf einem der berühmtesten Open-Source-Projekte überhaupt basiert

Ja, aber jedes Mal, wenn eines dieser Dinge eintrifft, erhalte ich eine E-Mail vom Geschäftsführer, in der er fragt, ob dies etwas ist, worüber man sich Sorgen machen muss, obwohl ich offiziell im Ruhestand bin.