Koa.js Unverwundbarkeitsanalyse-Update

Nov 26 2022
Vor nicht allzu langer Zeit schrieb ich über eine Schwachstelle, die Koa.js im Jahr 2018 betraf.

Vor nicht allzu langer Zeit schrieb ich über eine Schwachstelle , die Koa.js im Jahr 2018 betraf. Ich war frustriert, dass ich mich mit einem Problem aus dem Jahr 2018 befassen musste, obwohl das Datum 2022 war und ich die neueste Version von Koa verwendete. 4 Jahre sind vergangen. Das ist eine lange Zeit. Das Problem ist doch nicht mehr da!? Und es war und war nicht gleichzeitig. Das heißt, ich lag falsch und richtig zugleich. Also, hier ist ein Update zum vorherigen Beitrag, um Ihnen zu sagen, wie:

  • Ich habe Sonatype und Dependency Track zu Unrecht beschuldigt, in bestimmten Fällen nicht mit Versionsinformationen zu arbeiten
  • Ich kann in Bezug auf eine Schwachstelle gleichzeitig Recht und Unrecht haben

Der OSS-Index enthält Versionsinformationen

Wenn Sie meinen vorherigen Beitrag gelesen haben, erinnern Sie sich wahrscheinlich, dass ich zu dem Schluss kam, dass das Problem mich nicht betrifft. Die gute Nachricht ist, dass ich Recht hatte. Die schlechte Nachricht ist, dass ich Sonatype fälschlicherweise vorgeworfen habe, die Versionsnummern in den von OSS Index für Dependency Track bereitgestellten Daten nicht zu haben, um damit zu arbeiten. Es stellt sich heraus, dass sie die Informationen haben. Es war einfach nicht sichtbar, wo ich es erwartet hatte. Siehe den folgenden Screenshot, der am 22.11.2022 aufgenommen wurde.

Informationen zu den betroffenen Versionen fehlen

Es ist sehr wahrscheinlich, dass Dependency Track (DT) nicht genau mit dem funktioniert, was auf der obigen Seite angezeigt wird, aber ich wollte nicht überprüfen, wie die Daten aussahen, die DT aus dem OSS-Index abruft. DT hat gerade einen Link zum OSS-Index gezeigt, wo ich mehr erfahren könnte. Ich klickte und landete auf dieser Seite.
Ich wurde heute von Sonatype darauf aufmerksam gemacht, dass Versionsnummern verfügbar sind; Ich muss woanders suchen. Wenn Sie sich bei Ihrem Konto anmelden und entweder nach Koa suchen oder im obigen Screenshot auf die Schaltfläche „Details für Koa anzeigen“ klicken, können Sie es finden. Siehe Screenshot unten.

Koa nach Version und grundlegender Schwachstellenzähler

Also lag ich falsch. Sonatype hat die Informationen in der Datenbank. Das Problem liegt dann bei der Präsentationsschicht. Es wäre besser, wenn sie die betroffenen Versionen auf der Seite auflisten würden, auf der die Schwachstelle tatsächlich diskutiert wird, damit wir sie sehen und bei Bedarf überprüfen können.

Ich habe Sonatype OSS Index zu Unrecht beschuldigt, keine Versionsinformationen zu haben. Ich habe Dependency Track auch fälschlicherweise beschuldigt, bereit zu sein, nur auf der Grundlage des Abhängigkeitsnamens zu berichten, wenn Versionsinformationen nicht verfügbar sind. (Ich muss noch herausfinden, ob letzteres wahr oder falsch ist, ich habe es nicht überprüft.)

Gib noch nicht auf! Spannender zu diskutieren sind die eigentliche Schwachstelle und die (hoffentlich) bevorstehenden Änderungen am Schwachstellenbericht im OSS-Index. Beginnen wir mit der Schwachstelle.

Cross-Site-Scripting

Sonatype hat Koa basierend auf dem folgenden Gedankengang XSS zugeschrieben.

Koa ist die Entität, die die URL in die HTML-Antwort schreibt, nicht der Entwickler, der Koa verwendet

Es ist definitiv vernünftig zu erwarten, dass der Entwickler die angegebene URL validiert, wahrscheinlich anhand einer Zulassungsliste, um eine offene Weiterleitung zu verhindern, und nicht Koa, da Koa keine Ahnung hätte, welche URLs Sie zulassen möchten oder nicht. Als Entwickler denke ich jedoch nicht, dass ich mir Gedanken über die XSS-Bereinigung für eine URL machen muss, die ich an eine redirect()-Methode übergebe.

Koa scheint sich in diesem Zusammenhang um XSS zu kümmern, da sie dort bereits Code haben, um dies zu verhindern, HTML-Entitäten, die die URL codieren, wenn sie sie in HTML schreiben

Ich stimme bis zu einem gewissen Grad zu. Dem stimme ich beispielsweise nicht zu.

Ich denke nicht, dass ich mir Gedanken über die XSS-Bereinigung für eine URL machen muss, die ich an eine Umleitung () -Methode übergebe

Wenn Sie eine gültige, sichere URL an eine von Ihnen (dem Entwickler) bereitgestellte Umleitungsmethode übergeben, müssen Sie sich (offensichtlich) keine Gedanken über XSS machen. Wenn Sie vom Benutzer bereitgestellte Daten ganz oder teilweise weitergeben, müssen Sie sich immer Gedanken darüber machen, ob Sie ein Entwickler oder ein Sicherheitsexperte sind. Dennoch ist es nicht weit hergeholt zu erwarten, dass Koa dem Entwickler hilft.

Lassen Sie mich Ihnen ein ausgezeichnetes Beispiel geben, das hoffentlich hilft zu verstehen, woher ich komme. Im folgenden Beispiel gebe ich vom Benutzer bereitgestellte Daten im Antworttext an den Browser zurück. Ich mache das ohne Validierung, Bereinigung oder Codierung.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Denken Sie darüber nach, was und wie ich im Antworttext an den Browser übergebe
  • Berücksichtigen Sie den Wert des Content-Type-Headers für die Antwort (und steuern Sie ihn wahrscheinlich am besten explizit!).
  • Beachten Sie, dass Koa standardmäßig den Wert des Content-Type-Headers basierend auf dem an übergebenen Wert automatisch anpasst ctx.body. (Versuchen Sie zum Beispiel aaa, vorbeizukommen, und sehen Sie, wie es sich ändert.)

In Anbetracht des obigen ctx.body„XSS“-Beispiels klingt es so, als ob wir Koa beschuldigen würden, bestimmte Maßnahmen ergriffen zu haben, um eine Katastrophe bei der Verwendung von zu verhindern ctx.redirect(). Nochmals Sonatype zitieren:

Koa scheint sich in diesem Zusammenhang um XSS zu kümmern, da sie dort bereits Code haben.

Bedeutet dies, wenn Koa sich in diesem Zusammenhang nicht um XSS gekümmert hätte, ähnlich wie sie sich nicht darum gekümmert haben (und sollten), wenn es um geht ctx.body, niemand hätte es als XSS-Schwachstelle gekennzeichnet? Das ist ziemlich lustig. Mir sind einige Ähnlichkeiten mit meiner früheren Analyse über Formidable aufgefallen, die hier und hier dokumentiert ist .

Nach allem, was ich bisher gesagt habe, ist zufällig ein XSS da ... und nicht gleichzeitig. Wie ist das möglich? Einfach! Es ist da, aber Sie können es nicht ausnutzen, es sei denn:

  1. Das Opfer verwendet einen alten Webbrowser UND
  2. Es gibt eine offene Umleitung, die vom Entwickler mit Koas ctx.redirect(), AND implementiert wurde
  3. Der Entwickler vertraut allen vom Benutzer bereitgestellten Daten vollständig und gibt sie wörtlich weiterctx.redirect()

Auf der Sonatype-Berichtsseite stand, wie Sie dem heutigen Screenshot entnehmen können, „Öffne Weiterleitung, die zu Cross-Site Scripting führt“. In meinem vorherigen Beitrag wurde der Teil „Umleitung öffnen“ in Frage gestellt:

Zunächst einmal gab es keine offene Weiterleitung. Es ist nur geöffnet, wenn Sie es öffnen, und der Unterschied zwischen den beiden PoCs (dem Original und meinem) zeigt dies deutlich.

Sonatype stimmt auch zu, dass Koa nicht dafür verantwortlich ist, offene Weiterleitungen zu verhindern. Ihre Sorge, meine Sorge und die Hauptsorge aller anderen galt dem XSS. Es war nur verwirrend, eine offene Weiterleitung einzubeziehen. Gleichzeitig war es technisch nicht unvernünftig, wie wir später sehen werden. (Dies wirkt sich auch auf die Bewertung der Schwachstellen aus.)

Wie bereits erwähnt, erfordert die erfolgreiche Ausnutzung des Verhaltens von Koa eine offene Weiterleitung. Aber:

  • Koa ist nicht dafür verantwortlich, offene Weiterleitungen zu verhindern (wie bereits erwähnt).
  • Koa wird nicht ctx.redirect()ohne Zustimmung des Entwicklers ausgeführt
  • Koa zwingt Entwickler nicht, Umleitungen zu verwenden

Es gibt also eine weitere Schutzebene: die Anwendungsfälle. Wie wahrscheinlich möchte ein Entwickler keine Kontrolle darüber haben, wohin ein Browser umgeleitet wird? Sehr unwahrscheinlich. Dies bedeutet, dass Entwickler höchstwahrscheinlich benutzergesteuerte Daten ctx.redirect()an eine andere Zeichenfolge anhängen werden. Etwas Ähnliches wie in den unten gezeigten Beispielen ist also am wahrscheinlichsten:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Bewertung von Schwachstellen

Es müssen drei (3) Bedingungen erfüllt sein, damit der Fehler ausgenutzt werden kann, wie am Ende des vorherigen Abschnitts besprochen.

  • Welche Version eines Browsers verwendet wird, ist Sache des Endbenutzers
  • Die Verwendung der Redirect-Methode und wie sie verwendet wird, ist Sache des Entwicklers

Hervorzuheben ist auch, dass die Verwendung der Redirect-Methode auf unsichere Weise der Angriffsvektor ist. Für eine erfolgreiche Ausnutzung ist ein Angriffsvektor erforderlich. Koa liefert nicht den Angriffsvektor; der Entwickler tut es.

Lassen Sie uns dies mit der Definition von „Software Vulnerability“ von NIST in Beziehung setzen:

https://csrc.nist.gov/glossary/term/software_vulnerability

Der Teil, den ich hervorheben möchte, ist „könnte ausgenutzt werden“. Nehmen Sie Koa als Softwarebibliothek. Können Sie es ausnutzen, ohne zuerst den erforderlichen Angriffsvektor zu erstellen? Nein. Aus Sicht von Koa, einer Softwarebibliothek, wird also kein Angriffsvektor präsentiert; ohne das ist Ausbeutung unmöglich. Wenn wir die Definition streng interpretieren (was ich tue), könnten wir Koas Verhalten nicht als Schwachstelle bezeichnen.
Versuchen wir, einen CVSS-Score ohne Angriffsvektor zu berechnen:

Berechnung des CVSS-Scores ohne Angriffsvektor

Es gibt keine Punktzahl, wenn es keinen Angriffsvektor gibt. Ich würde sagen, dass dies mit der Definition von Software Vulnerability übereinstimmt, die von NIST bereitgestellt wird.
Lassen Sie uns experimentieren und ein imaginäres Szenario erstellen, in dem ein Angriffsvektor existiert.

Fiktive Angriffsvektor

Hier gibt es neben dem imaginären Angriffsvektor noch einige Probleme. Die Angriffskomplexität wurde auf Hoch gesetzt, da eine erfolgreiche Ausnutzung einen alten Browser erfordert. Ein Angreifer muss die Opfer davon überzeugen, einen alten Browser herunterzuladen und zu installieren.
In diesem Sinne ist Benutzerinteraktion erforderlich, auch wenn es bei den Basismetriken für Benutzerinteraktionen nicht wirklich darum geht. Ob das Ausnutzen des XSS in diesem Szenario eine Benutzerinteraktion erfordert, hängt davon ab, wie die verwendete Webanwendung umleitet, und nicht von Koa. Erwähnenswert ist auch, dass das injizierte JavaScript nicht von selbst ausgeführt werden würde, da es in erster Linie eine Benutzerinteraktion erforderte: das Klicken auf den Link in der HTML-Antwort.

Was können wir also tun, um eine Schwachstellenbewertung zu erzwingen? Wir müssen etwas auswählen. Wunschdenken, das Schlimmste annehmen, was auch immer Sie bevorzugen. Eines ist sicher, Sie machen eine Rechnung, die Sie gar nicht machen sollten, und das Ergebnis ist so weit von der Realität entfernt, dass ich nicht einmal die Worte dafür finden kann.

Das nächste große Ding sind die Impact Metrics. Sie müssen wissen, was die Webanwendung über die Auswirkung sagen wird. Aber wir berechnen keinen Vulnerability Score für eine Webanwendung … Angesichts des Kontexts hat dieses XSS keine Auswirkungen auf Koa. Koa handhabt oder verarbeitet vertrauliche Informationen nicht selbst. Der Fehler hat keine Auswirkungen auf die Verfügbarkeit oder Integrität. Damit bleibt uns das Endergebnis von 0,0, selbst nachdem wir einen Angriffsvektor in die Berechnung gezwungen haben.

Die Frage ist also, berichten wir über Fakten oder Fiktion?

Sonatype machte mich auf die offizielle Anleitung zum Scoring Vulnerabilities in Software Libraries aufmerksam , die 2019 mit CVSSv3.1 veröffentlicht wurde. Ich gebe zu, ich wusste nichts davon, was sowohl gut als auch schlecht ist. Gut, weil es zu einem Schimpfwort geführt hätte, schlecht, weil ich vielleicht all meine Hoffnung verloren hätte, wenn ich es früher gesehen hätte, bevor ich mich so sehr bemüht hätte, zu erklären, dass es nicht der richtige Weg ist. Also, was sagt die offizielle Anleitung?

Bei der Bewertung der Auswirkungen einer Schwachstelle in einer Bibliothek … sollte der Analyst für das angemessene Worst-Case-Implementierungsszenario punkten. Wenn möglich, sollten die CVSS-Informationen diese Annahmen detailliert beschreiben.

Die Antwort lautet also, dass das Vulnerability Scoring auf Fiktion basiert.

Was ist außerdem ein „ angemessenes Worst-Case-Implementierungsszenario“? Wenn wir viele Projekte analysiert haben, die Koa verwendet haben, und festgestellt haben, dass die meisten Entwickler offene Weiterleitungen mit der ctx.redirect()Methode von Koa implementiert haben, könnte es vernünftig sein, das Schlimmste anzunehmen. Ich habe eine schnelle Codesuche in JavaScript-Projekten für ctx.redirect(auf GitHub durchgeführt. Ich habe 16.827 Codeergebnisse erhalten. Bei der Suche nach context.redirect(erhielt ich 15.751 Code-Ergebnisse. Das wären 32.578 zu analysierende Codeergebnisse. Einige davon werden Koa verwenden, einige Express und einige können etwas anderes sein. (Natürlich könnte der Kontext mit einem beliebigen Namen aufgerufen werden, nicht nur mit ctxoder context, sodass noch mehr Code angezeigt werden könnte.)

Die Frage ist: Werden vom Benutzer bereitgestellte Daten so häufig hirnlos weitergeleitet, um sie umzuleiten? Ich habe einen halbautomatischen Analyseansatz gewählt, indem ich ein kleines Skript geschrieben habe, um alle Projekte zu überprüfen, die den Suchkriterien entsprachen. Leider kam ich nicht über die ersten 1.000 Treffer hinaus, da GitHub weitere Anfragen ablehnte:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Basierend auf dem, was ich gesehen habe, und in Anbetracht dessen, was im nächsten Abschnitt („Der alte Webbrowser“) besprochen wird, glaube ich nicht, dass es vernünftig wäre, eine Worst-Case-Implementierung anzunehmen. Nicht in diesem speziellen Fall.

Die offizielle Anleitung sagt auch, dass:

Bei der Bewertung einer Schwachstelle in einer bestimmten Implementierung mithilfe der betroffenen Bibliothek muss die Bewertung für diese spezifische Implementierung neu berechnet werden.

Das ist vernünftig und mildert den Science-Fiction-Aspekt der Situation ein Stück weit. So endete dieses Koa-Problem mit dem Vulnerability Score von 9,8 in unserem Fall bei 0,0.

Das Gute ist, dass Sonatype zugestimmt hat, dass der Schwachstellenwert von 9,8 unangemessen war, und dass sie bereit sind, ihn zu reduzieren. Ich weiß es zu schätzen, und wahrscheinlich werden viele andere es auch tun.

Darüber hinaus teilte mir Sonatype mit, dass sie beim Hinzufügen des Problems zu ihrem System der Meinung waren, dass es am besten wäre, wenn ihre Kunden über diese möglicherweise unerwartete Situation Bescheid wüssten. Sie sagten: „Es war besser, Alarm zu schlagen, als zu ignorieren, was wir gesehen haben, und möglicherweise ein negatives Ergebnis zu haben“. Und natürlich hatten sie Recht.

Ich habe nie hinterfragt, ob Sicherheitsprobleme kommuniziert werden sollten oder nicht. Ja, Sicherheitslücken müssen sichtbar gemacht werden. Was mich interessiert, ist, wie diese Probleme kommuniziert werden:

  • Ist es angemessen, etwas als Schwachstelle oder eher als Sicherheitsschwäche oder unsicheres Standardverhalten usw. zu bezeichnen?
  • Ist die zugewiesene Schwachstellenbewertung angemessen?
  • Sind genügend Details und Kontext angegeben?

Lassen Sie uns nun ein wenig über die alten Webbrowser sprechen.

Der alte Webbrowser

Ohne die guten Leute von Sonatype hätte ich wahrscheinlich nie wieder an alte Webbrowser gedacht.

Auch in Zukunft werde ich auf alte Browser verzichten. Zunächst einmal gibt es zu viele Dinge zu beachten; Ich kann mir keine Sorgen um alte Webbrowser machen. Zweitens, wie alt ist ( klicken Sie nicht auf den Link, wenn Sie keinen Sinn für Humor haben! ) ein alter Webbrowser? Was heißt eigentlich „alt“? Wenn jemand nur einen etwa 1 Jahr alten Browser verwendet, ist es ziemlich wahrscheinlich, dass er bereits viel größere Probleme als XSS hat.

Trotzdem habe ich etwas gegoogelt und folgendes gefunden:

  • Google Chrome 48.0.2564.109 (64-Bit) aus dem Jahr 2016 (!) zeigte nicht einmal den Antworttext an. Da das Koa-Problem im Jahr 2018 gefunden wurde, dachte ich, dass es ausreichen sollte, bis 2016 zurückzugehen, aber es stellte sich heraus, dass dies nicht der Fall war.
  • Firefox 4.0 aus dem Jahr 2011 zeigte den Antworttext an, aber Benutzer mussten auf den Link klicken, damit die JavaScript-Nutzlast ausgeführt werden konnte. (Natürlich ist es ein Link!)
  • Firefox 52.0 aus dem Jahr 2017, 1 Jahr bevor das Koa-XSS-Problem gemeldet wurde, zeigte bereits den Response-Body mit der JavaScript-Payload nicht an. Firefox hat gerade einen Fehler mit der Aufschrift „Corrupted Content Error“ aufgrund einer „Netzwerkprotokollverletzung“ ausgegeben.

Koa 0.0.1 wurde 2013 veröffentlicht, es gab also einige Jahre, in denen das Problem hätte ausgenutzt werden können. Ab diesem Zeitpunkt wäre es wahrscheinlich akzeptabel, dieses Problem (immer noch nicht mit einer Punktzahl von 9,8) bis Koa 2.5.0 im Jahr 2018 zu kennzeichnen. Danach rechtfertigt jedoch nichts mehr als 1,0.

Beim Stöbern bin ich auf Wikipedia auf etwas Interessantes gestoßen . Lassen Sie mich zitieren:

Firefox 15 wurde am 28. August 2012 veröffentlicht … Firefox 15 führte stille Updates ein, ein automatisches Update, das Firefox auf die neueste Version aktualisiert, ohne den Benutzer zu benachrichtigen, [65] eine Funktion, die die Webbrowser Google Chrome und Internet Explorer 8 und höher haben bereits umgesetzt

Alle wichtigen Webbrowser hatten also eine automatische Update-Funktion, bevor die erste Version von Koa veröffentlicht wurde, was bedeutet, dass die Wahrscheinlichkeit groß ist, dass die Mehrheit der Benutzer einen aktuellen Webbrowser verwendet hat. Sehen wir uns den Zustand zur Zeit des „Urknalls“ an: 2013.

  • Firefox 15 : Es wurde ein Fehler mit der Aufschrift „Corrupted Content Error“ zurückgegeben, was bedeutet, dass der Antworttext dem Benutzer nicht angezeigt wurde.
  • Chrome 24.0.1312 (WebKit 537.17) : Es wurde kein Antworttext angezeigt. Beim Betrachten des Netzwerk-Tabs der Entwicklertools war kaum etwas zu sehen, also musste ich Wireshark ausführen, um zu sehen, ob der Browser die Anfrage überhaupt ausgeführt hat. In Wireshark war sichtbar, dass Chrome meinen PoC-Dienst kontaktiert und die Antwort mit der JavaScript-Nutzlast erhalten hat. Der Antworttext wurde nicht gerendert. Besser noch, nichts ist passiert.
  • Internet Explorer 11 (11.0.9600.19180) : Es hat die Antwort von meinem PoC-Dienst abgerufen, die ich mit Wireshark überprüft habe. Der Antworttext wurde dem Benutzer nicht angezeigt. Es kam mit der klassischen, eingebauten Fehlerseite zurück, die besagt: „Diese Seite kann nicht angezeigt werden“.

Nachdem wir die obigen Recherchen durchgeführt haben, kehren wir für eine Sekunde zu einem Zitat von Sonatype zurück:

Koa scheint sich in diesem Zusammenhang um XSS zu kümmern, da sie dort bereits Code haben, um dies zu verhindern, HTML-Entitäten, die die URL codieren, wenn sie sie in HTML schreiben

Diese Aussage ist zwar richtig, aber die Tatsache, dass zum Zeitpunkt der Veröffentlichung der ersten Version von Koa keiner der großen Browser die Ausbeutung erlaubte, deutet auf etwas Interessantes hin, auf etwas anderes als das, was der Satz suggerieren möchte. Bitte beachten Sie, dass ich Spekulationen schreibe, da ich nicht genau wissen kann, wie die Koa-Entwickler gedacht haben. Ich kann mir leicht vorstellen, dass die Entwickler das fragliche Verhalten mit einem aktuellen Webbrowser getestet haben. Sie haben möglicherweise festgestellt, dass die HTML-Codierung geeignet war, da es bereits unmöglich war, injizierten JavaScript-Code von der hrefEigenschaft des auszuführenaSchild. Dies wirft eine ernsthafte Frage auf. Nachdem ich die letzten fünf Jahre mehr auf der Seite der Softwareentwicklung verbracht habe, gilt auch für mich: Wenn ich als Entwickler eine neue Webtechnologie für die Backend-Seite erstellen möchte, sollte ich mich dann um alte Webbrowser kümmern? Und wenn ja, was ist die offizielle Empfehlung der Sicherheits-Community, wie weit in der Zeit ich alte Webbrowser berücksichtigen muss? Sollten wir nicht bedenken, dass die bewährte Sicherheitsmethode für Endbenutzer darin besteht, ihre Browser auf dem neuesten Stand zu halten, und die Funktion zur automatischen Aktualisierung hilft auch dabei? Auch wenn wir erwarten, dass Entwickler alte Browser im Hinterkopf behalten und mit ihnen testen, können wir nicht erwarten, dass Sicherheitsexperten dasselbe tun und alle Webbrowser und ihre Versionen benennen, die zu einem bestimmten Problem beitragen, anstatt nur auf „alte Browser“ zu verweisen “? Es wäre nur fair.

Eines ist sicher, seit Jahren gibt es nichts zu befürchten…

Der moderne Browser

In meiner Analyse habe ich mit meinem Webbrowser den Antworttext überprüft und festgestellt, dass er leer ist. Ich habe nicht überprüft, ob die über die Leitung gesendete Antwort einen Körper hatte. Es stellt sich heraus, dass nur Google Chrome den Antworttext vollständig ignoriert hat. daher wurde es nicht angezeigt. Das war gut genug für mich. Vernünftigerweise muss ich hinzufügen.

Seitdem habe ich mir die Antwort meines Test-Webdienstes mit der neuesten Version von Koa angesehen. Wir können unten sehen, dass es einen HTML-Antworttext mit dem eingefügten JavaScript-Code gab:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Kommende Änderungen

Nachfolgend finden Sie eine Liste der Updates, die Sonatype bezüglich dieses Problems implementieren möchte:

  • Aktualisierung der Zusammenfassung/Titelzeile zur Beseitigung von Missverständnissen (bereits geschehen)
  • Reduzierung des Vulnerability Score auf 4,7 (bereits geschehen)
  • Erwähnen Sie, dass die Schwachstelle nur ausgenutzt werden kann, wenn ein Benutzer einen älteren Browser verwendet

Zusätzliche Änderungen, die ich sehen möchte

Zusätzlich zu den im vorherigen Abschnitt erwähnten Änderungen könnten noch einige Dinge verbessert werden. Diese sind:

  • Weitere Reduzierung des Schwachstellen-Scores, insbesondere für die nach 2018 veröffentlichten Koa-Versionen.
  • Angabe der Versionsnummer mindestens der wichtigsten Webbrowser und ihrer Veröffentlichungsdaten, die im Bericht enthalten sind, wenn auf die „älteren Browser“ verwiesen wird. Dies würde jedem erheblich helfen, „eine Schwachstelle in einer bestimmten Implementierung mit der betroffenen Bibliothek zu bewerten“. Wenn ich zum Beispiel gesehen habe, dass ein Benutzer einen Browser aus dem Jahr 2011 verwenden musste, hätte ich das Problem in SCA innerhalb einer Sekunde als „nicht betroffen“ markiert. Es ist eine Menge Zeit gespart.
  • Die betroffenen Koa-Versionen sollen auf der Seite der Schwachstelle aufgelistet werden .

Übrigens hat Sonatype auch erwähnt, dass sie einige coole Prüfungen in ihrem kommerziellen Angebot haben, die beispielsweise tatsächliche Prüfungen auf Codeebene durchführen, um festzustellen, ob eine Anwendung von den gemeldeten Schwachstellen betroffen ist. Das klingt ordentlich, und angesichts des Science-Fiction-Charakters, wie Schwachstellenwerte für Bibliotheken berechnet werden, sind solche Überprüfungen ein Muss, um die Belastung der Entwicklungsteams zu verringern, insbesondere wenn die Dinge so weitergehen.

Fazit

Das sind so ziemlich alle Updates, die ich habe. Ich bin froh, dass ich mich an Sonatype gewandt habe, denn sie sind sehr professionell und freundlich. Es war eine Freude, mit ihnen daran zu arbeiten.

Bezüglich XSS in Koa: Es ist etwas, worüber sich seit einigen Jahren keiner von uns Sorgen machen sollte.

Datenstrukturen in JavaScript
Datenstrukturen in JavaScript
Was ist überhaupt eine verknüpfte Liste? [Teil 1]
Was ist überhaupt eine verknüpfte Liste? [Teil 1]
Erzählen Sie mir von verknüpften Listen
Erzählen Sie mir von verknüpften Listen
Wenn alles andere fehlschlägt, werden Sie kreativ
Wenn alles andere fehlschlägt, werden Sie kreativ
Mein Raumschiff am Ende der Welt
Mein Raumschiff am Ende der Welt
Kürbis-Grünkohl-Lasagne
Kürbis-Grünkohl-Lasagne
Walker Buehler hat keine Angst vor dem Scheitern und ist in NLCS Game 6 wieder ruhig erfolgreich
Walker Buehler hat keine Angst vor dem Scheitern und ist in NLCS Game 6 wieder ruhig erfolgreich
Gut mit Kell: Freund, reinige deinen Darm!
Gut mit Kell: Freund, reinige deinen Darm!
Meine Nachbarin
Meine Nachbarin
Glänzend
Glänzend
Kreativität als Kompass
Kreativität als Kompass
Die Auswirkung von Angst und Trauer auf die Kreativität
Die Auswirkung von Angst und Trauer auf die Kreativität
Die Wirkung der Einsamkeit auf die Kreativität
Die Wirkung der Einsamkeit auf die Kreativität
Aber was ist, wenn ich nirgendwo zurückkehren kann?
Aber was ist, wenn ich nirgendwo zurückkehren kann?
Die unsichtbare Trauer
Die unsichtbare Trauer
Ich höre endlich auf zu rauchen
Ich höre endlich auf zu rauchen
Ich fühle mich nicht länger schuldig, nicht Lockdown-produktiv zu sein
Ich fühle mich nicht länger schuldig, nicht Lockdown-produktiv zu sein
Amerika war schon immer eine brutale, einsame Wildnis
Amerika war schon immer eine brutale, einsame Wildnis
Ein kurzer Rückblick auf zwei Szenen in 'Borat 2'
Ein kurzer Rückblick auf zwei Szenen in 'Borat 2'
Ihr Transgender-Kind braucht einen Therapeuten - und Sie auch
Ihr Transgender-Kind braucht einen Therapeuten - und Sie auch
Lebensunterricht mit freundlicher Genehmigung meines Transgender-Sohnes
Lebensunterricht mit freundlicher Genehmigung meines Transgender-Sohnes
Ich weigere mich, die Sorge die ganze Macht haben zu lassen
Ich weigere mich, die Sorge die ganze Macht haben zu lassen
Irritierende Gesichtsmasken, Mode und COVID-19-Ängste
Irritierende Gesichtsmasken, Mode und COVID-19-Ängste
Samsung Galaxy Note 20 Ultra: Richtiges Telefon, falsche Zeit
Samsung Galaxy Note 20 Ultra: Richtiges Telefon, falsche Zeit
Ein Rückblick auf Buddy Ebsens Rolle in „The Andy Griffith Show“
Petula Clark sagte, dass „Downtown“ ein verzweifeltes Lied enthüllte
Sam Heughan weiß genau, was er vom „Outlander“-Set mitnehmen wird – „Ich fühle mich wie Jamie, wenn ich sie anziehe“
John Lennon erzählte, warum „The Tonight Show“ die „peinlichste“ Show war, in der er je mitgewirkt hatte
Dolly Parton fand Gott in einer verlassenen Kirche, in der einheimische Teenager zum Sex missbraucht wurden
Ringo Starr weigert sich, mit einem Click-Track zu spielen, und das macht ihn zu einem besseren Schlagzeuger
Nicole Kidman liebte dieses attraktive Feature, das Michael Keaton und Val Kilmer als Batman teilten
Der Beatles-Song Peter Asher nannte ihn den „größten Song, den ich je gehört habe“
Paul McCartney stellte sich vor, wie seine Mutter auf seinen Erfolg reagiert hätte
Paul McCartney war wegen der einzigen abgesagten Show der Beatles so gestresst, dass er sich übergeben musste
Der Rat von Jimmy Page für junge Musiker stammt direkt aus dem Motivational Speaker Handbook
Quentin Tarantino verriet einmal, dass die interessanteste Figur, die er je geschrieben hat, in „Pulp Fiction“ war.
Der frühe Beatles-Song, der laut einem Fab-Four-Insider einer der „aufregendsten Auftritte“ der Band war
Paul McCartney sagte, er habe „Glück gehabt“, dass er nie Heroin konsumiert habe 
Paul McCartney: Leiden machte 1 Song aus dem „White Album“ der Beatles gut
„Sympathy for the Devil“ der Rolling Stones klang ursprünglich wie brasilianische Musik
Warum Paul McCartney davor zurückschreckte, die Wahrheit über die Beatles zu sagen
Bradley Coopers Schauspielkarriere stand auf dem Spiel, als er bei diesem Projekt mit Julia Roberts zusammenarbeitete
Winona Ryder teilte einmal mit, dass alle ihre Charaktere zu Beginn ihrer Karriere als „hässliches Mädchen“ beschrieben wurden
„Der seltsame Fall der Natalia Grace“: Wo sind Nataila, Kristine und Michael Barnett heute?
John Lennon sagte 1 Zeile in „Revolution“ der Beatles und kommentierte die Polizei
Wie Paul McCartney auf den Titel von „Lucy in the Sky with Diamonds“ der Beatles reagierte
Donovan verglich einen seiner Songs mit „Lucy in the Sky with Diamonds“ der Beatles
Wie John Ritter starb: Rückblick auf den Tod des „Three’s Company“-Schauspielers
Taylor Sheridan hat gerade einen seiner Lieblingsstars aus „Yellowstone“ zur Besetzung von „Lawmen: Bass Reeves“ hinzugefügt.
Billy Crystal und Robin Williams haben ihren gesamten „Friends“-Cameo-Auftritt mit Werbebotschaften versehen
Jana Duggar: Alles, was sie über die Liebe gesagt hat und ihr 5-Jahres-Fenster, um den „Einen“ zu finden
George Harrison war verärgert: Seine Texte für Donovans „Hurdy Gurdy Man“ wurden nicht verwendet
Judy Norton von „The Waltons“ merkte, dass sie manchmal „eine Göre“ war, als sie die Show drehte
Paul McCartney sagte: „Sgt. In Peppers Song geht es nicht um Heroin
Gene Simmons sagt, dass KISS-Comics möglicherweise „die Menschheit neu erschaffen könnten“.
Der Song von Paul Simon, der Bob Dylan perfekt parodierte 
Brad Pitt und Harrison Ford mussten spontan „The Devil's Own“ erfinden, als das „Drehbuch“ verworfen wurde
Prince arbeitete eine Stunde lang an einem Song von Stevie Nicks und verdiente die Hälfte der Tantiemen 
Dolly Parton half ihrer „invaliden“ Großmutter, als keines der anderen Enkelkinder es tat – sie machte ihr auch Streiche
Frank Sinatras „My Way“ war nicht so groß wie sein „Old MacDonald“
„Boy Meets World“: Warum ist Mr. Turner aus der Serie verschwunden?
Wie Melissa Gilbert einen Vogel rettete, indem sie ihn unter ihrem Nachthemd gefangen hielt
Stevie Nicks „schnappte“ sich einen Song von Joni Mitchell, als sie spürte, dass ihre Musikkarriere scheiterte
Christopher Nolan bereute es einst, Quentin Tarantinos „Pulp-Fiction-Drehbuch“ gelesen zu haben
„Schlaf nicht in der U-Bahn“ verwirrte Petula Clark
Paul McCartney sagte, „When I'm Sixty-Four“ der Beatles sei ein Witz gewesen
Mick Jagger sagte, dass „Their Satanic Majesties Request“ der Rolling Stones von Acid und nicht von den Beatles inspiriert sei
Rolling Stones: Keith Richards wurde von einer Gruppe Musikfans, die die Band kritisierten, sauer
Paul McCartney erzählte, was ihn an John Lennon am meisten beeindruckte, als sie sich das erste Mal trafen
Die beste Zeit, den Drehort von „Little House on the Prairie“ zu besuchen
John Lennon sagte, das Lied dieser B-52 klang „genau wie Yokos Musik“
MIA griff einmal John Lennons „Give Peace a Chance“ an
Martha Mitchell: Die Frau, die zu viel über Watergate wusste
Tolle Fluchten! 5 wilde Tiere, die ausbrachen und auf die Flucht gingen
Ja, männliche Seepferdchen gebären! Hier ist wie
Können virtuelle Kraftwerke helfen, das US-Energienetz zu stabilisieren?
Wer war Pontius Pilatus vor und nach der Kreuzigung Jesu?
Wellensittiche sind super sozial und tolle Haustiere
Was ist der Unterschied zwischen Instant- und Aktiv-Trockenhefen?
Wo sich die Waldbrandprävention am meisten auf Mensch und Klima auswirkt
9 der größten Hühnerrassen
5 eloquente und nachhaltige Zitate von Maya Angelou
Chief Plenty Coups: Visionärer Anführer und Verteidiger der Crow Nation
Das Rätsel des Wassermanns enthüllen: Die einzigartige Essenz der Luft erforschen
Warum haben die USA kein „rückgabefreies“ Steuererklärungssystem?
Ein Blick auf die denkwürdigsten Hochzeiten des Weißen Hauses
Müssen Sie eine positive Einstellung haben, um Krebs zu besiegen?
Schlafen Fische?
Woher kommt der Ausdruck „On the Lam“?
Ukrainische Flüchtlinge dürfen auch nach Kriegsende niemals nach Hause zurückkehren
Was ist der Unterschied zwischen einer Demokratie und einer Republik?
Ist Induktionskochen besser als Gas oder Elektro?
The Secrets of Airline Travel Quiz
Würden Sie Casu Marzu essen, den illegalen Käse mit Maden?
Tarotkarte „Sechs der Schwerter“: Den Weg zum Übergang und zur Heilung freischalten
Könnte neu gemessenes W-Boson das Standardmodell brechen?
Der höchste Berg im Sonnensystem ist viel höher als der Everest
Warum Sriracha die beliebteste scharfe Soße aller ist
Was ist Luftfeuchtigkeit und welchen Einfluss hat sie auf die Temperatur?
Where in the World Are You? Take our GeoGuesser Quiz
Pripjat: Die ukrainische Geisterstadt im Schatten von Tschernobyl
Was bedeutet CC in E-Mails?
Welche ist die süßeste Grapefruit – weiß, rot oder pink?
Eine winzige Gruppe von Samaritern praktiziert immer noch ihre alte Religion
Elon Musk besitzt Twitter. Was könnte möglicherweise falsch laufen?
Sollten Sie Facebook oder Google verwenden, um sich auf anderen Websites anzumelden?
Die Atlasmotte ist eine Behe-Motte plus 5 weitere Fakten
Ketanji Brown Jackson Confirmed as Supreme Court Justice
Hagfish: Diese aalähnliche Schleimmaschine ist der Albtraum eines Raubtiers
Wie man Abflussfliegen loswird
Vielleicht kannst du zu dünn sein? Lernen Sie den dünnsten Wolkenkratzer der Welt kennen
Was ist eine Giftpille und wird Twitter Elon Musk in Schach halten?
$ 1.500 heute Kauft einen Yellowstone Pass für 2172
Spenden Sie Ihr Haar, um unser Wasser sauber zu halten
Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden
Die Biennale in Venedig ist die „Olympiade der Kunst“
Die Orchideen-Mantis sieht aus wie eine Blume, „sticht“ wie eine Biene
Was ist Völkermord und begeht Russland ihn in der Ukraine?
Wer hat das gesagt? Das Synchronsprecher-Quiz
The Bear-Zusammenfassung: Ist Marcus der netteste, sanfteste und aufrichtigste Mann in Chicago?
Deadpool und Wolverine werden endlich Marvels X-Men-Filme freischalten
Ich flehe die Spieler von Final Fantasy 14 an, einfach die Dialoge in Dawntrail zu lesen
Würden Sie für 9.800 US-Dollar Ihren Wagen in diesen siebensitzigen Toyota RAV4 Baujahr 2008 packen?
Oberster Gerichtshof hört Argumente darüber, ob das texanische Gesetz Ihre Pornogewohnheiten bestimmen kann
Halten Sie Ihre Katze mit diesen wissenschaftlich fundierten Strategien davon ab, Möbel zu zerkratzen
Beverly Hills Cop: Axel F-Rezension: Eddie Murphy lässt es in Netflix‘ unkompliziertem Rückblick ruhig angehen
Xbox erleidet großen Ausfall [Update: Es funktioniert wieder]
Mein Elden-Ring: Beschwörung von Spielern aus Shadow Of The Erdtree, Rangliste
Amazon-Lieferwagen brennt während der Sommerhitze in Houston in Flammen auf
Zwei palästinensische Kinder sind „traumatisiert“, nachdem eine Frau angeblich versucht hat, sie zu ertränken
Einige Mortal Kombat-Fans befürchten, dass das neueste Spiel bereits tot ist, aber es könnte komplizierter sein
Fahrer schafft es, Tesla Cybertruck umzudrehen, kein autonomes Fahren erforderlich
Jetzt können Sie den kultigsten Bikini der Science-Fiction besitzen
Oberster Gerichtshof entscheidet, dass Trump Immunität für alle zwischen 9 und 17 Uhr begangenen Verbrechen genießt
Ridley Scott „war nicht glücklich“, als die Fortsetzungen von Alien und Blade Runner verschenkt wurden
Unheimliche Turbulenzen lassen Mann in viralem Video in Gepäckablage fliegen
Ein Mann aus Louisiana schickte vor einer Verbrechensserie eine eindringliche Warnung
Biden kontert Urteil des Obersten Gerichtshofs zur Immunität Trumps und weist auf die Gefahr unkontrollierter Macht hin
Marvels Black Panther Show wird die bisher bedeutendste Animationsserie
Schlechte Nachrichten für Fani Willis und ihren Fall der Wahlbeeinflussung durch Trump
Kann Simone Biles SZA auf die Olympischen Spiele vorbereiten?
Sehen Sie sich den Motorweek-Test des Sterling an, eine vergessene britische Interpretation der Acura-Legende
RIP Robert Towne, Oscar-prämierter Drehbuchautor von Chinatown
Nicht gut: Hurrikan Beryl ist der früheste Sturm der Kategorie 5 in der aufgezeichneten Geschichte
Tianas Bayou-Abenteuer bricht mit 87 Jahren merkwürdigem Disney-Prinzessinnen-Kanon
Neue Open-Source-Fehler machen Tausende iOS-Apps anfällig für Hijacking
Erinnern Sie sich, als eine niederländische Fluggesellschaft 440 Eichhörnchen in einen riesigen Schredder warf?
Trotz russischer Propagandabehauptungen hat Selenskyjs Frau keinen Bugatti Tourbillon gekauft
Cate Blanchetts durch Kettensägen angeheizte Lockdown-Hysterie führte sie nach Borderlands
Beliebter YouTube-Rapper und berühmter TikTok-Zauberer liefern sich viralen Bell-Wettstreit
Cate Blanchett erklärt, warum sie im Borderlands-Film mitspielt
Boeing möchte, dass alle aufhören, zu behaupten, der Starliner-ISS-Test sei ein Reinfall
Lionsgate gibt sich ein Jahr Zeit, den Titel von „Die Unfassbaren 3“ in „Die Unfassbaren – Now You Three Me“ zu ändern
McLaren kann einfach nicht aufhören, IndyCar-Fahrer zu feuern, obwohl es ihm sogar Spaß macht
Twister-Regisseur bekam die Tornado-Warnung vor Twisters nicht
Darum war Eddie Murphy „gezwungen“, sein berühmtes Lachen zu ändern
Umfrage: Demokraten liegen hinter Trump, egal ob sie Biden durch Biden, Biden oder Biden ersetzen
Papst Franziskus ernennt ersten Millenniumsheiligen
KI, um Stimmen verstorbener Prominenter auszugraben und Ihnen PDFs oder Ähnliches vorzulesen
MaXXXine ist eine reißerische Hollywood-Geschichte, die sich zu zahm anfühlt
BMW will nicht, dass auf einem Autotransporter verbrannte Autos zum Verkauf angeboten werden
Tun Sie sich selbst einen Gefallen und schauen Sie sich das beste Speedrunning-Event des Jahres an
Eddie Murphy berichtet über alles auf seiner Pressetour „Beverly Hills Cop: Axel F“
Sie möchten eine Corvette, aber sie soll schrecklich aussehen? Wir haben das richtige Auto für Sie
Ich habe ein Wochenende mit Remote Play und Cloud Gaming verbracht und es war irgendwie großartig
Eine von Ryan Reynolds‘ vielen abgelehnten Deadpool 3-Ideen war ein Indie-Roadtrip
Land Rover Defender Octa ist ein 626 PS starkes Biest für die Raptoren dieser Welt
Dwayne Johnson sagt, seine Mutter sei nach einem nächtlichen Autounfall „in Ordnung“ und werde „weiterhin untersucht“
Amazon-Käufer sagen, dass sie „wie ein verwöhntes Baby“ schlafen, dank dieser Seiden-Kissenbezüge, die nur 10 US-Dollar kosten
Kevin Jonas' Tochter Alena sieht auf dem Geburtstagsfoto ganz erwachsen aus: "9 Jahre alt fühlt sich nicht echt an"
Yasmin Vossoughian von MSNBC sagt, dass der Arzt ihre Schmerzen in der Brust als Reflux abgetan hat, dann begann ihr „Albtraum“.
Jimmy Buffett, „Margaritaville“-Sänger, mit 76 Jahren gestorben
TJ Watt möchte, dass Tom Brady und Bruder JJ gemeinsam in die NFL Hall of Fame aufgenommen werden
'Flashdance'-Sängerin Irene Cara starb an Bluthochdruck, hohem Cholesterinspiegel: Bericht
Körper, von denen angenommen wird, dass sie Rappern gehören, die seit dem abgesagten Auftritt vermisst wurden, wurden gefunden: „Sie haben das nicht verdient“
Bob Barker, langjähriger „The Price Is Right“-Moderator, mit 99 Jahren gestorben: „The World's Greatest MC“
Lizzo erhält Warenzeichen für „100 % THAT Bitch“ in Umkehrung, nachdem der Antrag abgelehnt wurde
Muni Long sagt, sie habe es noch nicht „verarbeitet“, 3 Grammy Noms zu verdienen: „Alles geht so schnell“
Suzanne Somers und Alan Hamels Beziehungszeitleiste
Charly Reynolds enthüllt kürzliche Stimmbandoperation: „Ich hatte Probleme beim Singen“
Whoopi Goldberg zeigt Kit Harington ihre von „Game of Thrones“ inspirierte Toilette: „Ein echter Eiserner Thron“
Trevor Noah sagt, Beyoncés „Break My Soul“ sei der „Soundtrack meines Lebens“, als er die „Daily Show“ verließ
US-Eiskunstlauf „frustriert“ durch das Fehlen einer endgültigen Entscheidung im Team-Event, fordert eine faire Entscheidung
Eric und Jessie James Decker „knutschen immer übereinander“ – und die Kinder mögen das nicht
Vermisstes Mädchen, 17, wahrscheinlich erfroren, nachdem es im ländlichen Wisconsin in einen Graben gefahren war: Beamte
Purdue University Professor wegen angeblichen Meth-Handels und Angebots von Frauen wegen sexueller Gefälligkeiten verhaftet
Käufer sind sich einig, dass diese Bodenkehrmaschine von Black + Decker „viel schneller“ ist als ein herkömmlicher Besen, und sie ist im Angebot
Yara Shahidis Familie: Alles über die Eltern und Geschwister der Schauspielerin
Marvel veröffentlicht tatsächlich eine fiktive Scott-Lang-Abhandlung aus „Ant-Man and the Wasp: Quantumania“
Melissa Gorga ist sich nicht sicher, ob sie die Fehde mit Teresa Giudice lösen wird: „Wie giftig kann man etwas werden lassen?“
Tom Girardi nimmt an der Anhörung teil, um festzustellen, ob er wegen Betrugsvorwürfen vor Gericht stehen darf
Chloe Cherry aus „Euphoria“ wird wegen Diebstahls angeklagt, weil sie angeblich eine Bluse im Wert von 28 Dollar gestohlen hat
Danielle Moné Truitt von „Law & Order“ glaubt, dass Fans „ausgetrickst“ wurden; Von Stabler und Benson Kiss Tease
Olympiateilnehmerin Jasmine Camacho-Quinn feiert, dass ihr Bruder Robert Quinn zum Super Bowl aufbricht
Der „sehr leise“ leichte Haartrockner, von dem Käufer sagen, dass er ihnen ein „Salon-Finish“ verleiht, kostet bei Amazon nur 20 US-Dollar
Animal Rescue warnt: „Färbe niemals einen Vogel“, nachdem eine „kämpfende“ rosa Taube in New York gefunden wurde
Molly Ringwald feiert 22. Jahrestag mit Ehemann Panio Gianopoulos: „Beste Entscheidung, die ich je getroffen habe“
Paul McCartney darüber, „romantisch“ mit Frau Nancy Shevell zu sein: „Ich übertreibe den Valentinstag völlig“
In diesem geheimen Verkaufsbereich bei Nordstrom Rack verstecken sich mehr als 2.500 Kaltwetter-Styles – ab 6 $
Wer ist Lisa Vanderpumps Ehemann? Alles über Ken Todd
Drakes Dating-Geschichte: Von Rihanna bis Jennifer Lopez
Wer ist Walker Scobell? Alles über den Percy Jackson and the Olympians Star
Maggie Gyllenhaal und Peter Sarsgaards Beziehungszeitleiste
Bengals Running Back Joe Mixon wegen Haftbefehl gesucht, weil er angeblich mit einer Schusswaffe auf eine Frau gerichtet war
Heather Rae und Tarek El Moussa begrüßen ihren kleinen Jungen: „Unsere Herzen sind so glücklich“
Susan Lucci erinnert sich unter Tränen an ihren verstorbenen Ehemann, als sie zugibt, dass sie noch nicht bereit ist, mit einem Date zu beginnen
Wer ist Vince Vaughns Frau? Alles über Kyla Weber
Kirstie Alleys Nachlass listet das 6-Millionen-Dollar-Haus von Late Star in Florida auf, das sie von Lisa Marie Presley gekauft hat
Krankenschwester Lucy Letby wurde wegen Mordes an sieben Kleinkindern im britischen Krankenhaus für schuldig befunden
Alles über die Beziehung von Zoë Kravitz zu ihren Eltern Lenny Kravitz und Lisa Bonet
Frau lebend und nach Luft schnappend in Leichensack im Bestattungsunternehmen in Iowa gefunden
Frau, die vor 37 Jahren starb, nachdem sie bewusstlos auf dem Ga. Highway gefunden wurde, als vermisste Mutter von 4 identifiziert
Matthew McConaughey enthüllt, dass ein Wahrsager ihm sagte, er solle in „How to Lose a Guy in 10 Days“ mitspielen
Gwyneth Paltrow enthüllt das Date-Night-Kleid, das sie aus ihrer Beziehung mit Brad Pitt behalten hat 
Margaret Josephs verteidigt die „verheerende“ Entscheidung von Melissa und Joe Gorga, die Hochzeit von Teresa Giudice zu überspringen
Kann man mit 13 mit MTF HRT-Hormonen beginnen?
Ist 18 ein gutes Alter, um zu MTF zu wechseln?
Ist es in Ordnung, dass ich 13 Jahre alt bin, aber im Herzen immer noch ein Kind bin?
Transgender: Was war der schwierigste Teil Ihres Übergangs vom Mann zur Frau?
Welche Änderungen treten auf, wenn Sie mit 13 eine HRT erhalten?
Ich bin 16 und werde nächsten Monat 17. Wie bekomme ich einen Therapeuten, wenn meine Mutter denkt, ich brauche keinen?
Ich bin eine 14-jährige, die sich schnell von ihren Hobbys langweilt. Wie finde ich meine Leidenschaft und mein Talent?
Was ist das Nützlichste, was ich tun kann, wenn ich 14 bin?
Ich bin 19. Bin ich noch in der Pubertät?
Wie bekomme ich eine HRT, ohne zu sagen, dass ich eine HRT möchte?
Ich bin ein depressiver 13-Jähriger und möchte deswegen einen Arzt aufsuchen, aber ich habe Angst davor und dass meine Eltern es nur als meine Hormone und so abtun werden. Was soll ich machen?
Wie mache ich einen Arzttermin ohne meine Eltern und ohne dass sie wissen, warum ich gehe? Ich bin 15.
Was sind die notwendigen Lebenskompetenzen, die ich in diesem Sommer von 3 Monaten beherrschen kann? Ich bin 17 Jahre alt.
Welche Medikamente können einen Mann ohne Operation in eine Frau verwandeln?
Was ist der beste Weg, um auf natürliche Weise von Mann zu Frau zu wechseln?
Was sind die negativen Auswirkungen der Pubertät (psychische Gesundheit usw.)?
Ich wandle von Frau zu Mann um. Wie soll mein neuer Name lauten?
Ich bin heute 19. Was ist das Wichtigste, was ich lernen sollte?
Was kann ein 14-Jähriger tun, um sein Leben besser/leichter zu machen?
Bin ich immer noch Transgender (FTM), wenn ich erst in der Pubertät anfing, Anzeichen zu zeigen?
Wie stoppe ich die Pubertät ohne Pubertätsblocker?
Was ist das Wichtigste, was ein 14-jähriger Teenager beachten sollte?
Ist es eine gute Idee, mit der HRT mit 18 (Transgender) zu beginnen?
Ich bin 13, transgender (ftm) und gehe seit ein paar Monaten zu einem Therapeuten. Wie kann ich ihr sagen, dass ich transgender bin, und sie bitten, sich zu outen?
Ich bin ein 21-jähriger Student. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Ich bin 23 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Wie kann ich als 13-Jähriger Geld sparen und aufbewahren, ohne dass meine Eltern es wissen?
Was ist das beste Alter, um mit dem Übergang von Frau zu Mann zu beginnen?
Was soll passieren, wenn man nie in die Pubertät kommt?
Wie kann ich mein Leben mit 17 ändern?
Wenn ich mich informieren möchte, um eine Behandlung zur Geschlechtsumwandlung zu beginnen, welchen Arzt sollte ich aufsuchen?
Wird HRT für Transgender-Teenager empfohlen?
Was ist Ihrer Meinung nach der schwierigere Geschlechtswechsel, weiblich zu männlich (FzM) oder männlich zu weiblich (MzF)?
Ich bin gerade 17 geworden, was tue ich jetzt, um mir das beste Leben zu garantieren?
Lohnt sich eine Gesäßoperation für einen Mann-zu-Frau-Übergang?
Ich werde in einem Monat 17 und habe darüber nachgedacht, dass ich mich nicht wirklich anders fühle als 11, ist das normal? Werde ich mich wirklich verändern, wenn ich älter werde?
Wie starte ich meinen Übergang vom Mann zur Frau? Ich war innerlich immer ein Mädchen. Was muss ich tun?
Ich bin 17 Jahre alt, was soll ich tun, um mehr Wissen zu erlangen?
Ich bin 19 und Einzelkind. Ich werde depressiv und mache mir Sorgen, dass meinen Eltern etwas passiert, weil sie alles sind, was ich habe. Ich habe keine Freunde und konnte mir mit der Pandemie auch keine aneignen. Ich habe Angst alleine zu sein, was kann ich tun, um mir selbst zu helfen?
Ich bin 30 Jahre alt. Was kann ich jetzt tun, das mein Leben für immer verändern wird?
Ich werde morgen 16. Welchen konkreten Rat können Sie einem 16-jährigen Jungen geben?
Ich bin 14 Jahre alt, welchen Rat würden Sie mir gerne geben, der für den Rest meines Lebens hilfreich sein wird?
Wie fühlt es sich an, während des Geschlechtswechsels vom Mann zur Frau Brüste wachsen zu lassen?
Wie lebe ich das Leben als 19-Jähriger in vollen Zügen?
Warum habe ich noch nie eine Frau-zu-Mann-Transgender-Person gesehen?
Ist Spironolacton schlecht für die HRT?
Verläuft die Pubertät in Phasen? Kann es aufhören und dann wieder anfangen?
Was sind die Vor- und Nachteile der Pubertät?
Wie kann man sehen, ob ein Array zwei oder mehr Elemente enthält, die gleich sind? [Duplikat]
Java: Anzahl aller unterschiedlichen Schlüssel und Werte in Map <String, Set <String >> [duplizieren] abrufen
Könnte Uranus aufgrund seiner inneren Zusammensetzung und des Mangels an innerer Wärme eine feste Oberfläche haben?
Gibt es eine doppelt erzwungene Partnerposition?
Die sauberste Art, BeginTransaction mit try catch zu verwenden
Verwendung eines ungewöhnlichen hebräischen Wortes für "leuchtete" in Exodus
Kann der Stern-Brocot-Baum zur besseren Konvergenz von eingesetzt werden? $2^m/3^n$?
Warum fliegen Flüge nicht früher in Richtung ihres Landeanflugweges?
„ $\Sigma_1^1$-Peano-Arithmetik ”- macht es fest $\mathbb{N}$?
Ein tieferer Einblick in den Sicherheitsvorfall vom Mai 2019: Feedback zu Blog-Posts
Was sind Ellerman-Bomben und wie können wir sie identifizieren?
Nginx-Proxy für Tomcat mit SSL
Was ist die Matrix des Logarithmus des abgeleiteten Operators ( $\ln D$)? Welche Rolle spielt dieser Operator in verschiedenen mathematischen Bereichen?
Kann man maximale Antichains in Form von Verteilungsgittern charakterisieren?
Ist es beleidigend, meinen schwulen Charakter am Ende meines Buches zu töten?
Abrufen des href-Werts eines Link-Felds eines Link-Elements in scriban [Duplikat]
Joomla Wählen Sie aus DB UND / ODER-Gruppierung
winforms C # .NET - So verbessern Sie die Leistung meines Codes bei Verwendung von Schleifen (for, foreach usw.) [geschlossen]
Moses erste Gruppe von Führern Exodus 18:21
Entfernen Sie den inneren Rand in Typ = Farbe
"Vierzig Tage und vierzig Nächte"
Was ist der richtige Weg, um einen C # -Socket in .NET Core 3.1 zu schließen?
Opt-in-Alpha-Test für einen neuen Stacks-Editor
Warum waren eingelegtes Obst und Gemüse im Zeitalter des Segels nicht Teil der (europäischen) Rationen?
Wie entferne ich die Saturnringe?
So erhalten Sie bestimmten Text, der zur div-Klasse gehört
Wilson-Effekt: Wie „tief“ sind Sonnenflecken?
Kubernetes - Ist es möglich, Pod.yaml und Service.yaml in einer yaml-Datei zu kombinieren (jedoch ohne Bereitstellung)?
Der Mond hat genau die richtige Geschwindigkeit, um nicht auf der Erde zusammenzustoßen oder in den Weltraum zu entkommen. Was sind die Chancen?
Regex_Suche c++
Reflexionsprinzip gegen Universen
Die Geschichte der Werwolfmode, Teil 1: Die 2000er Jahre
Wie lautet die Regelung für den Krieg in Städten?
Kann der Oberste Gerichtshof eine Amtsenthebung für verfassungswidrig erklären? [Duplikat]
Fragen Sie nach der Erlaubnis [Präfix] [Infix] [Suffix]. Was ist [ganz]?
Beweisen Sie, dass eine Folge $\{a_n\}_n$definiert von $a_1=-\frac14$und $-a_{n+1}=\frac{a_na_{n+1}+4}4$konvergiert und finde seinen Grenzwert.
Wie liste ich meine k8s-Jobs mit einem komplexen LabelSelector nach Client-Go auf?
Muss ich meine App als Open Source-Version verwenden, wenn ich unveränderte API-Daten verwende, die unter CC-BY-SA 4.0 lizenziert sind?
Was sind die größten Hindernisse, um RL in Produktion zu bringen?
Wie kann man im Mittelalter Geschwindigkeitsbegrenzungen auf Straßen überwachen? [Duplikat]
Können wir aus Mars-Sandstürmen Strom erzeugen? Wenn ja, kann es zur Stromversorgung von Kolonien verwendet werden?
Fallstudie: Was braucht es, um Quillens Argument für kleine Objekte in ZFC zu formulieren und zu beweisen?
Wie groß müsste ein QR-Code auf meinem Dach sein, damit ein Satellit ihn bei der heute zulässigen Auflösung scannen kann?
In Bezug auf einen Doktorandenberater, der einen Studenten aufgrund gesundheitlicher Probleme ablehnt
"Sie machen keine Schuld und sterben"
3 x 2 Schiebepuzzle
Wenn Beizen Vitamin C zerstört, wie ist Sauerkraut reich an Vitamin C?
int_fast8_t-Größe vs. int_fast16_t-Größe auf der x86-64-Plattform
5 Kreative Schreibtechniken, die zu interessanten Artikeln führen
5 Kreative Schreibtechniken, die zu interessanten Artikeln führen
Ein Chatbot für Asset Control
Ein Chatbot für Asset Control
Schweigen
Schweigen
Das Vertrauen in Ihren ersten Instinkt in einer Beziehung ist von entscheidender Bedeutung
Das Vertrauen in Ihren ersten Instinkt in einer Beziehung ist von entscheidender Bedeutung
Was wir im Jahr 2020 bauen
Was wir im Jahr 2020 bauen
Spezifische Unterdrückung von Flussfehlern
Spezifische Unterdrückung von Flussfehlern
Top-Programmiersprachen für KI-Ingenieure im Jahr 2020
Top-Programmiersprachen für KI-Ingenieure im Jahr 2020
Gründe, sich für PyTorch für Deep Learning zu entscheiden
Gründe, sich für PyTorch für Deep Learning zu entscheiden
Samantha Lazar
Samantha Lazar
Der Wirbel eines Jahres
Der Wirbel eines Jahres
Die Einladung
Die Einladung
Zwei Python-Repositorys für die Textvisualisierung
Zwei Python-Repositorys für die Textvisualisierung
Das Beste daraus machen: Hybrid App UX Design
Das Beste daraus machen: Hybrid App UX Design
Benachrichtigung &amp; Alarme im Flattern
Benachrichtigung & Alarme im Flattern
6 Dinge, die ich von Brendon Burchard gelernt habe
6 Dinge, die ich von Brendon Burchard gelernt habe
Hochproduktive Menschen haben eine rituelle Morgenroutine
Hochproduktive Menschen haben eine rituelle Morgenroutine
Tun Sie bis Mittag die Sache, die Ihnen am wichtigsten ist
Tun Sie bis Mittag die Sache, die Ihnen am wichtigsten ist
Warum Sie Dinge nicht persönlich nehmen sollten
Warum Sie Dinge nicht persönlich nehmen sollten
5 Dinge, die Leistungsträger gemeinsam haben
5 Dinge, die Leistungsträger gemeinsam haben
Halloween im Spektrum
Halloween im Spektrum
Ich bin ein autistischer Erwachsener und ich hasse Halloween
Ich bin ein autistischer Erwachsener und ich hasse Halloween
Ich hätte nie gedacht, dass ich George W. Bushs Anstand zustimmen würde
Ich hätte nie gedacht, dass ich George W. Bushs Anstand zustimmen würde
Die Entstehung dezentraler Finanzen
Die Entstehung dezentraler Finanzen
Visualisierung des explosiven Wachstums von DeFi im Jahr 2020
Visualisierung des explosiven Wachstums von DeFi im Jahr 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved