Devo evitare di distribuire i file package.json o bower.json in produzione?

Question

Devo evitare di distribuire i file package.json o bower.json in produzione?

#1 da (4 voti)

4

So che è consigliabile nascondere le informazioni sulla versione del sistema operativo e del server quando si pubblicano pagine Web. Che dire delle informazioni sulla versione della libreria js contenute nei file package.json o bower.json? Sembra che questo potrebbe essere usato per creare attacchi osservando vulnerabilità note. Tuttavia, so che alla fine un utente può capirlo da solo guardando i file, quindi vale la pena?

EDIT: Sono anche interessato a ciò che è una pratica standard, indipendentemente dai problemi di sicurezza.

javascript web-application information-gathering

posta xdhmoore 09.03.2017 - 19:08

fonte

1 risposta

Leggi altre domande sui tag javascript web-application information-gathering

Esecuzione del comando Java senza Runtime.exec Come si possono sfruttare i "reindirizzamenti non inoltrati e inoltrati"?

score 4 · Accepted Answer

Permettere l'accesso al tuo pacchetto.json e file simili sarà un po 'di divulgazione di informazioni e come tale dovrebbe essere generalmente evitato. In uno scenario in cui una libreria JS aveva una vulnerabilità nota, lasciare questo accessibile nella web root consentirebbe agli aggressori di assemblare rapidamente un elenco di destinazioni valide.

È improbabile che si tratti di un problema di alto rischio, ma il principio generale di non fornire informazioni agli aggressori è valido, quindi direi che non dovrebbe essere messo in produzione in un formato accessibile agli utenti finali.

In termini di pratica standard per affrontare questo rischio. In genere, elimina questi file come parte del processo di distribuzione o utilizza qualcosa come .htaccess per impedirne l'accesso.