Archivos sensibles de Sourcemap filtrados

Hola, hemos recibido una recompensa de HackenProof sobre nuestro sitio de Discourse. Hemos actualizado a v3.10.beta3 +155 pero no hemos visto nada relevante en las notas de la versión que sea pertinente a la recompensa que se nos informó. ¿Es algo nuevo o no es de preocupación?

Impacto

El peligro es que el atacante obtenga el código fuente e información sensible, y API no públicas.

Recomendación

La solución temporal es eliminar el archivo .map en el directorio del código; la solución permanente es deshabilitar la función de generación de archivos map durante la compilación.

Creo que puede consultar este enlace https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Creo que la respuesta es que no hay una API no pública. Está documentada en GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. y si no sabes cómo leer eso, siempre puedes Ingeniería inversa de la API de Discourse.

Realmente odio el spam de seguridad falso.

No estoy seguro de que todas sean falsas, pero a más de unas les parece que están buscando proyectos de consultoría. (Pero las grandes firmas de contabilidad, las “Big Eight”, también hacen eso, y lo que suelen venderle es un informe prepago que revisan ligeramente y le cobran $20K).

Gracias por tus comentarios. No estaba seguro de si esto es realmente un problema.

Imagina buscar un proyecto de consultoría basándote en advertir a alguien que su código fuente se ha filtrado … y el sitio está construido sobre uno de los proyectos de código abierto más famosos que existen

Sí, pero cada vez que llega una de estas cosas, recibo un correo electrónico del director ejecutivo preguntando si es algo de lo que preocuparse, aunque esté oficialmente jubilado.