資源文件泄露風險 - .js文件
一、API
【1】os.walk(dir_path) 遍歷某路徑下的所有文件
【2】os.path.splitext(file_name) 分離文件名與擴展名
【3】os.path.join(root, file) 連接目錄與文件名或目錄
【4】參考鏈接
http://blog.csdn.net/cryhelyxx/article/details/45219947
二、觸發條件
1. 主要是查找反編譯目錄中的.js文件
【1】對應的代碼段
三、漏洞原理
【1】泄露的js文件如果被讀取,可能會造成功能邏輯泄露,如果被篡改,可能被植入釣魚頁面或惡意代碼,造成用戶的敏感信息泄露
四、修復建議
【1】對資源文件(.js)進行加密保護,防止資源文件泄露