Root-me[web_client] : Javascript - Webpack

이번에 새로 나온 문제다.

이상한 사이트가 반겨주는데, 사실 사이 자체에서 취약점을 찾는데에는 실패했다.

소스코드를 봐도 이상한 점이 별로 없었다.

related resource에서 보니 webpack 이라는 것을 이용한 문제인 것 같아서 webpack vulnerablities 를 검색해 보니

다음과 같은 CVE를 찾아볼 수 있었다.

webpack 이 서버인가 보다. 여기서 소스 코드를 볼수 있다고 한다. 웹소켓 서버 자체에서의 취약점인가 보다.

소스 코드르 보니 Webpack:// 부분이 보인다.

저게 CVE 에서 명시된 ws:// 부분인가 보다. 

그럼 저기에서는 소스 코드를 볼 수 있다는 뜻인 것 같은데 한번 확인해 보자.

소스 부분을 보니 저 사이트의 소스코드 전체가 노출이 되는 것 같다. 그래서 숨겨놓은 파일인 YouWill~ 이 보이는 것 같다.

누가봐도 세상 수상해 보이니까 확인해 보도록 하자.

정확히 파악은 되지 않지만...! source map 을 enable 하면 이렇게 보이는 건가 보다.

인텐인지 아닌지는 모르겠는데 일단 보였다.

 

Flag  :  BecauseSourceMapsAreGreatForDebuggingButNotForProduction