Мобильная версияНаше приложение 100% интерфейсный JavaScript — мы не используем PHP где-либо в нашей кодовой базе или серверной части.
Однако во время недавнего сканирования безопасности BurpSuite отмечена проблема низкой степени серьезности:
Раскрытие исходного кода — приложение, похоже, раскрывает серверный PHP-код
Файл, о котором сообщается, является одним из фрагментов, сгенерированных Webpack:
Код: Выделить всё
/static/js/550.b4370962.chunk.js
Код: Выделить всё
"application/x-httpd-php": () => ""
После поиска в нашем репозитории он появляется только внутри скомпилированного пакета JS, поэтому он должен происходить из косвенной зависимости от npm.
Судя по минимизированному содержимому, похоже, что какая-то библиотека предоставляет образцы/макеты полезных данных для разных типов MIME, включая «application/x-httpd-php».
Поэтому BurpSuite интерпретирует эту строку как «раскрытие исходного кода PHP на стороне сервера», хотя она является всего лишь частью объекта JS внутри клиентской библиотеки.
BurpSuite помечает проблему как «Предварительная» достоверность, что обычно указывает на возможное ложное срабатывание.
Вопросы:
- Известно ли это ложное срабатывание BurpSuite при сканировании встроенного JavaScript?
(Особенно, когда библиотеки включают примеры строк полезной нагрузки.) - Какие типы библиотек обычно генерируют эти примеры карт полезной нагрузки типа MIME?
Я хотел бы уточнить точный NPM ответственность за пакет. - Можно ли классифицировать это как ложное срабатывание, если фрагмент представляет собой всего лишь безобидную строку внутри клиентского JS-файла?
- Есть ли рекомендуемый способ предотвратить неправильную интерпретацию строк такого типа в BurpSuite?
Подробнее здесь: https://stackoverflow.com/questions/798 ... unk-file-b
