[Root.me] Challenge: Javascript - Webpack

Challenges/Web - Client : Javascript - Webpack [Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de

오리랑 원앙오리랑 다른 점을 모른다며 부끄러운 줄 알라는 글이 있다.

하이퍼링크를 타고 가면 오리랑 원앙오리의 이미지를 확인할 수 있다.

 

우선 문제 제목인 webpack에 대해 먼저 알아보자.

Webpack이란?

웹에서 사용되는 모든 자원들을 번들링 해주는 도구이다.

webpack의 취약점은 다음과 같다.

개발자의 코드를 어디서 훔쳐야 될까 고민하며 개발자 모드를 켰다.

webpack이라는 게 보여서 해당 경로를 탐색해 봤다.

 

누가 봐도 수상한 파일명...

여기에 flag 값이 있는 거 같진 않다.

오른쪽 밑을 확인해 보면 app.a92~.js에서 소스 매핑되었다고 한다.

해당 소스코드를 확인해 보기 위해 url에 /static/js로 이동하였다.

 

그럼 이렇게 소스코드들이 보이는데

내가 타겟으로 하는 js 파일에는 뭐가 없었고

.map 파일을 확인해 보니 flag값을 볼 수 있었다.

문제를 푼 뒤 확인해 보니.

 

디버깅 할 시에 해석 불가능한 코드 때문에 개발 시 편의성을 우해 컴파일 되기 전의 타입스크립트 코드와의 매핑 파일이 존재하며 이 파일이 js.map 파일인 것을 알 수 있었다.

컴파일 전에 주석을 제거하지 않아서 생긴 취약점이다.