Sourcemap file sensibili trapelate

Ciao, abbiamo ricevuto una taglia HackenProof sul nostro sito Discourse. Abbiamo aggiornato alla versione v3.10.beta3 +155 ma non abbiamo visto nulla di rilevante nelle note di rilascio che sia pertinente alla taglia che ci è stata segnalata. Si tratta di qualcosa di nuovo o non è motivo di preoccupazione?

Impatto

Il pericolo è che l’attaccante ottenga il codice sorgente e informazioni sensibili, e API non pubbliche.

Raccomandazione

La soluzione temporanea è eliminare il file .map nella directory del codice; la soluzione permanente è disabilitare la funzione di generazione dei file map durante la build.

Penso che possiate fare riferimento a questo link https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Penso che la risposta sia che non ci sono API non pubbliche. È documentato su GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. e se non sai come leggerlo, puoi sempre Ingegnerizzare al contrario l’API di Discourse.

Odio davvero lo spam di sicurezza fasullo.

Non sono sicuro che siano tutte false, ma più di alcune sembrano voler accaparrarsi progetti di consulenza. (Ma anche le grandi società di contabilità, le “Big Eight”, fanno così, e quello che di solito ti vendono è un rapporto prepagato che modificano leggermente e ti fanno pagare 20.000 dollari.)

Grazie per il tuo feedback. Non ero sicuro se questo fosse veramente un problema.

Immagina di cercare un progetto di consulenza avvertendo qualcuno che il suo codice sorgente è trapelato… e il sito è costruito su uno dei progetti open source più famosi esistenti

Sì, ma ogni volta che arriva una di queste cose, ricevo un’email dal direttore esecutivo che mi chiede se è qualcosa di cui preoccuparsi, anche se sono ufficialmente in pensione.