一、目前存在的webpack漏洞
1、代碼注入漏洞
由于webpack在處理模塊時,會將特定注釋當作webpack的配置項進行解析,因此攻擊者可以利用這一點在注釋中注入惡意代碼,導致系統被攻擊。
// webpack.config.js
/* eslint-disable */
const webpack = require("webpack");
const HtmlWebpackPlugin = require("html-webpack-plugin");
/* <%= if(attack) {%> */
const sourceMapConfig = require("./sourcemap.json");
/*<%}%>*/
module.exports = {
mode: "development",
devtool: "source-map",
entry: "./src/index.js",
output: {
filename: "main.js",
},
plugins: [new HtmlWebpackPlugin()],
};
2、路徑穿越漏洞
在webpack配置中,output.path和各個loader的output路徑可以配置為絕對路徑或相對路徑,攻擊者可以通過改變入口文件的路徑或模塊的引用路徑,穿越目錄到達任意位置,并進行讀取、修改或刪除等操作。
// webpack.config.js
module.exports = {
entry: __dirname + "/app/main.js",
output: {
path: __dirname + "/build",
filename: "bundle.js",
},
module: {
rules: [
{
test: /\.(png|svg|jpg|gif)$/,
use: ["file-loader"],
outputPath: "../../img", // 存在漏洞
},
],
},
};
二、防范措施
1、避免使用eval等會將字符串轉為代碼執行的方式,同時建議正式環境關閉devtool配置。
// webpack.config.js
module.exports = {
devtool: false,
};
2、設置resolve.modules配置為絕對路徑,限制模塊的搜索范圍,防止路徑穿越漏洞。
// webpack.config.js
module.exports = {
resolve: {
modules: [path.resolve(__dirname, "app"), "node_modules"],
},
};
3、使用webpack相關插件或loader進行安全檢查,如webpack-validator、eslint-loader等。
// webpack.config.js
const { validate } = require("webpack");
const { resolve } = require("path");
module.exports = validate({
// ...
plugins: [],
});
// package.json
"eslintConfig": {
"extends": "eslint:recommended",
"plugins": ["security"],
"rules": {
"security/detect-object-injection": "warn"
}
}
三、處理已知漏洞
1、路徑穿越漏洞的修復
// webpack.config.js
module.exports = {
output: {
path: path.resolve(__dirname, "build"), // 絕對路徑
filename: "bundle.js",
},
};
2、注入攻擊的修復
使用webpack自帶的DefinePlugin插件,對注入攻擊的預編譯代碼進行過濾,避免攻擊者注入可執行代碼。
// webpack.config.js
new webpack.DefinePlugin({
"process.env": {
NODE_ENV: JSON.stringify(process.env.NODE_ENV),
},
});
四、小結
webpack作為前端打包工具,在安全方面的漏洞需要開發者和社區共同努力解決。在使用webpack進行工程開發時,建議按照以上方法進行規避和處理,保障應用運行時的安全性。
京公網安備 11010802030320號