文章总结： 文档介绍了批量检测Webpack信息泄露的方法，利用info_scan工具结合FOFA收集资产，支持配置Cookie进行扫描并生成风险报告。若自动扫描无果，可下载前端原始文件，配合FindSomething插件人工分析源码、注释及敏感变量，以挖掘更多接口安全隐患。 综合评分： 77 文章分类： WEB安全,安全工具,漏洞分析,渗透测试

API接口安全测试-批量扫描Webpack接口信息泄露

原创

huan666 huan666

huan666

2026年1月23日 12:40 北京

一、前言

Webpack 信息泄露的核心原因是项目打包 / 部署时未关闭开发环境配置、未清理源码调试信息、未做生产环境构建优化，导致打包后的静态文件中残留了 Webpack 构建配置、项目目录结构、源码注释甚至敏感变量，攻击者可通过 FOFA / 浏览器抓包获取这些文件，分析出技术栈、版本、业务逻辑等信息，进而针对性挖掘漏洞。

二、工具

谷歌浏览器插件：FindSomething

info_scan：https://github.com/huan-cdm/info_scan/

三、案例

1、利用fofa收集通过Webpack打包的项目，收集到的资产自动存入系统资产库

3、配置是否带Cookie进行扫描，系统配置-Webpack扫描参数，本次配置不带Cookie扫描

3、选中Webpack扫描模块，点击批量开启，系统会判断是否存在重复开启情况，进程运行状态就会返回请勿重复提交的提示信息

4、可在报告中查看发现的风险信息

5、如报告中未发现有价值的信息，系统提供前端原始文件访问入口，可手工进行分析

原始文件中，系统会打包下载前端文件，以域名为单位存入以域名命名的文件夹，借助FindSomething插件辅助分析，以此来发现更多的风险信息

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：huan666 huan666 huan666《API接口安全测试-批量扫描Webpack接口信息泄露》