Утечка чувствительных файлов Sourcemap

Привет, мы получили вознаграждение от HackenProof за наш сайт на Discourse. Мы обновились до версии v3.10.beta3 +155, но в примечаниях к выпуску не нашли ничего, что было бы связано с сообщённой уязвимостью. Это что-то новое или не стоит беспокоиться?

Влияние

Опасность заключается в том, что злоумышленник получает исходный код, конфиденциальную информацию и закрытые API.

Рекомендация

Временное решение — удалить файл .map из каталога с кодом; постоянное решение — отключить функцию генерации файлов .map при сборке.

Вы можете обратиться к этой ссылке: https://docs.fluidattacks.com/criteria/vulnerabilities/236/

Я считаю, что ответ заключается в том, что закрытого API не существует. Вся документация доступна по адресу GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. · GitHub. Если вы не умеете её читать, вы всегда можете провести реверс-инжиниринг API Discourse.

Я действительно ненавижу ложный спам о безопасности.

Я не уверен, что все они фальшивые, но многие из них, похоже, ищут консультационные проекты. (Хотя и восемь крупных аудиторских фирм делают то же самое, и обычно они продают вам заранее оплаченный отчёт, который они слегка дорабатывают и выставляют вам счёт на 20 тысяч долларов.)

Спасибо за ваш отзыв. Я не был уверен, действительно ли это проблема.

Представьте: пытаетесь «поймать» заказ на консалтинг, предупреждая кого-то об утечке исходного кода… при этом сам сайт построен на одном из самых известных проектов с открытым исходным кодом в мире

Да, но каждый раз, когда приходит одна из этих вещей, я получаю письмо от исполнительного директора с вопросом, стоит ли беспокоиться, хотя я официально на пенсии.