Web逆向:Source Map和接口签名的测试排查
2025年6月记录,分类「Web逆向」。这里不追求大而全,主要记录一个测试点从发现到落地的过程。
授权前提
Web 侧排查接口签名问题时,Source Map 可以帮助理解前端参数拼装逻辑,但前提是只在授权项目里做分析。
这类问题如果只写结论,过一段时间就很难复用,所以我把判断依据也留了下来。
排查路径
- 先确认线上是否误暴露 Source Map。
- 从请求参数反查签名生成位置。
- 把时间戳、随机数、版本号差异转成测试用例。
检查项:
- 生产包是否暴露 .map
- 签名逻辑是否泄露敏感常量
- 构建配置是否关闭 sourcemap