Fuite de fichiers sensibles de Sourcemap

Bonjour, nous avons reçu une prime HackenProof concernant notre site Discourse. Nous avons mis à niveau vers la version v3.10.beta3 +155 mais nous n’avons rien vu de pertinent dans les notes de publication qui soit pertinent pour la prime qui nous a été signalée. Est-ce quelque chose de nouveau ou sans importance ?

Impact

Le danger est que l’attaquant obtienne le code source et des informations sensibles, ainsi que des API non publiques.

Recommandation

La solution temporaire consiste à supprimer le fichier .map dans le répertoire du code ; la solution permanente consiste à désactiver la fonction de génération de fichiers map lors de la compilation.

Je pense que vous pouvez vous référer à ce lien https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Je pense que la réponse est qu’il n’y a pas d’API non publique. C’est documenté sur GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. et si vous ne savez pas comment le lire, vous pouvez toujours Ingénierie inverse de l’API Discourse.

Je déteste vraiment le spam de sécurité bidon.

Je ne suis pas sûr qu’ils soient tous bidons, mais plus d’un d’entre eux semblent vouloir décrocher des projets de conseil. (Mais les cabinets d’audit Big Eight font ça aussi, et ce qu’ils vous vendent habituellement, c’est un rapport prépayé qu’ils révisent légèrement et vous facturent 20 000 $.)

Merci pour votre retour. Je ne suis pas sûr qu’il s’agisse vraiment d’un problème.

Imaginez chercher un projet de conseil en avertissant quelqu’un que son code source a fuité… et que le site est construit sur l’un des projets open source les plus célèbres qui existent

Oui, mais chaque fois que l’une de ces choses arrive, je reçois un e-mail du directeur général me demandant si cela doit inquiéter, même si je suis officiellement à la retraite.