Apple App Store sourcemap 노출

모 커뮤니티에 누군가가 애플 앱스토어의 sourcemap이 매핑되어 원본 소스코드가 노출된다고 올렸다.

 

Saved All Resources 확장자를 이용해서 리소스를 모두 저장했다고한다. 나도 쓰는 크롬 확장자인데 굳이 쓰진 않는다.

 

근데 그걸 또 퍼블릭으로 소스코드를 공개했다..ㅋ 대단한 깡... 그래도 DMCA 때문에 하루만에 레포지토리를 막았는데...

 

이걸 본 사람들은 그걸 또 fork해서 여러개의 레포지토리로 나아갔다.

 

크롬 개발자 도구에서 확인해보면 Source map failed to load라고 나오는데, 애플 앱스토어는 빠르게 소스맵에 해당하는 *.map 파일들을 모두 삭제한걸로 조치했다.

 

애플 앱스토어가 대표적인 케이스가 되어버렸지만.. 이 외에도 많은 웹들이 sourcemap이 올라간걸 확인할 수 있다.

 

js에는 설정되어 있지 않지만 서버에는 올라갔다던가.. 참 다양한 방식으로 설정되어 있는 사이트들이 존재한다.

 

꿀팁..?이랄까 필자도 버그바운티 하려고 sourcemap 덤프 뜬 몇개의 사이트들이 있는데, 이걸로는 취약하다고 판단할 수는 없어서 가끔 한번씩 sourcemap 크롤링하고 깃에다가 올려놓고 분석하기도 한다. 좋은 점은 어떤 코드가 추가되었고 바뀌었는지 볼 수 있다는 점?정도.

아직까지 취약점이 될만한 벡터가 없어서 계속 묵혀두고 있다.