资源文件泄露风险 - .js文件
一、API
【1】os.walk(dir_path) 遍历某路径下的所有文件
【2】os.path.splitext(file_name) 分离文件名与扩展名
【3】os.path.join(root, file) 连接目录与文件名或目录
【4】参考链接
http://blog.csdn.net/cryhelyxx/article/details/45219947
二、触发条件
1. 主要是查找反编译目录中的.js文件
【1】对应的代码段
三、漏洞原理
【1】泄露的js文件如果被读取,可能会造成功能逻辑泄露,如果被篡改,可能被植入钓鱼页面或恶意代码,造成用户的敏感信息泄露
四、修复建议
【1】对资源文件(.js)进行加密保护,防止资源文件泄露