Sourcemap file sensibili trapelate

Supporto
1

Ciao, abbiamo ricevuto una taglia HackenProof sul nostro sito Discourse. Abbiamo aggiornato alla versione v3.10.beta3 +155 ma non abbiamo visto nulla di rilevante nelle note di rilascio che sia pertinente alla taglia che ci è stata segnalata. Si tratta di qualcosa di nuovo o non è motivo di preoccupazione?

Impatto

Il pericolo è che l’attaccante ottenga il codice sorgente e informazioni sensibili, e API non pubbliche.

Raccomandazione

La soluzione temporanea è eliminare il file .map nella directory del codice; la soluzione permanente è disabilitare la funzione di generazione dei file map durante la build.

Penso che possiate fare riferimento a questo link https://docs.fluidattacks.com/criteria/vulnerabilities/236/

2

Penso che la risposta sia che non ci sono API non pubbliche. È documentato su GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. e se non sai come leggerlo, puoi sempre Ingegnerizzare al contrario l’API di Discourse.

Odio davvero lo spam di sicurezza fasullo.

3

Non sono sicuro che siano tutte false, ma più di alcune sembrano voler accaparrarsi progetti di consulenza. (Ma anche le grandi società di contabilità, le “Big Eight”, fanno così, e quello che di solito ti vendono è un rapporto prepagato che modificano leggermente e ti fanno pagare 20.000 dollari.)

4

Grazie per il tuo feedback. Non ero sicuro se questo fosse veramente un problema.

5

Immagina di cercare un progetto di consulenza avvertendo qualcuno che il suo codice sorgente è trapelato… e il sito è costruito su uno dei progetti open source più famosi esistenti :sweat_smile:

6

Sì, ma ogni volta che arriva una di queste cose, ricevo un’email dal direttore esecutivo che mi chiede se è qualcosa di cui preoccuparsi, anche se sono ufficialmente in pensione.