Arquivos sensíveis do Sourcemap vazados

Olá, recebemos uma recompensa do HackenProof sobre nosso site Discourse. Atualizamos para v3.10.beta3 +155, mas não vimos nada relevante nas notas de lançamento que seja pertinente à recompensa que nos foi reportada. Isso é algo novo ou não é preocupante?

Impacto

O perigo é que o atacante obtenha o código-fonte e informações confidenciais, e APIs não públicas.

Recomendação

A solução temporária é excluir o arquivo .map no diretório do código; a solução permanente é desabilitar a função de geração de arquivos de mapa durante a compilação.

Acho que você pode consultar este link https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Acho que a resposta é que não existe uma API não pública. Está documentada em GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. e, se você não sabe como ler isso, sempre pode Fazer engenharia reversa da API do Discourse.

Eu realmente odeio spam de segurança falso.

Não tenho certeza se são todas falsas, mas algumas delas parecem estar buscando projetos de consultoria. (Mas as grandes empresas de contabilidade, as “Big Eight”, também fazem isso, e o que elas geralmente vendem é um relatório pré-pago que elas revisam ligeiramente e cobram US$ 20 mil.)

Obrigado pelo seu feedback. Eu não tinha certeza se isso era realmente um problema.

Imagine pescar um projeto de consultoria com base em avisar alguém que seu código-fonte vazou… e o site é construído em um dos projetos de código aberto mais famosos que existem

Sim, mas toda vez que uma dessas coisas chega, recebo um e-mail do diretor executivo perguntando se é algo com que devo me preocupar, mesmo estando oficialmente aposentado.