Análisis de invulnerabilidad de Koa.JS, también conocido como ¿Por qué la industria de la seguridad no entiende el software?

Nov 26 2022
Mi frustración es cada vez más alta porque acaba de suceder de nuevo. Si ha leído mi análisis anterior titulado CVE-2022–29622: (In)vulnerability Analysis, puede sospechar a lo que me refiero.

Mi frustración es cada vez más alta porque acaba de suceder de nuevo. Si leyó mi análisis anterior titulado CVE-2022–29622: (In)vulnerability Analysis , puede sospechar a lo que me refiero. Misma historia, diferente víctima. Sin embargo, las fechas son importantes en este caso. Mi anterior análisis de invulnerabilidad es del 2022, hoy voy a analizar otro número del 2018.

Puede preguntar: "¿Por qué tienes que lidiar con algo de 2018?" ¡Excelente pregunta! Porque recientemente habilité Dependency Track para extraer información de vulnerabilidad del índice OSS de Sonatype.

Koa.JS “Vulnerabilidad” de 2018 (falso positivo)

Hoy, mientras hojeaba SCA para ver si teníamos algún componente vulnerable y, si lo teníamos, priorizar el trabajo de remediación. Me encontré con algo muy sorprendente. ¡¿Koa.JS tiene una vulnerabilidad crítica?! Después de mi habitual "#FFS, toda mi semana necesita reorganizarse", dije: "Respira hondo y mira de qué se trata esto. Recuerdas lo que pasó la última vez…”

Pista de dependencia que muestra la información de vulnerabilidad

Y así lo hice. En primer lugar, el título deja en claro que el "problema" se encontró en 2018. Ahora, ¿por qué tendría una vulnerabilidad en una biblioteca que aún se mantiene y sigo actualizando a la última versión? En este punto, la parte investigadora de mi cerebro entró en acción.

¿Qué sabemos/vemos en este punto?

  1. Supuestamente hubo una vulnerabilidad en Koa en 2018 con una gravedad crítica asignada
  2. Según Sonatype OSS Index y Dependency Track, el problema me afecta en 2022 mientras ejecuto la última versión de Koa
  • Qué versiones de la biblioteca Koa.JS se vieron afectadas por la "vulnerabilidad"
  • Si la “vulnerabilidad” está presente en el último Koa.JS

Análisis de problemas

Veamos de qué se trata la “vulnerabilidad”. Permítanme vincular rápidamente el problema relacionado #1250 de GitHub aquí. Copiaré y pegaré el ejemplo (¿PoC?) a continuación para que podamos analizarlo.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.redirect("javascript:alert(1);")
});

app.listen(3000);

“Como desarrollador de una aplicación o servicio web, puedo redirigir su navegador a donde quiera si visita mi sitio web”.

Eso es lo que significa el código anterior. En el PoC anterior no se presenta ningún vector de ataque para que un actor malicioso explote algo.

Si quisiera proporcionar un "PoC" adecuado para esta no vulnerabilidad (sí, lo acabo de decir), se vería así:

const Koa = require('koa');
const app = new Koa();
// Try: http://localhost:3000/?vector=javascript:alert(1);
app.use(async ctx => {
  ctx.redirect(ctx.request.query.vector);
});

app.listen(3000);

Hablando de una vulnerabilidad XSS, si lo que ingresé como el valor del vectorparámetro se mostró en el contexto HTML de forma insegura, la aplicación que implementé sería vulnerable a Cross Site Scripting. (Más sobre esto más adelante)

Acercándonos a cómo Sonatype presentó esto y analizándolo un poco más:

¿"Redirección abierta que lleva a Cross-Site Scripting"? En primer lugar, no había una redirección abierta. Solo está abierto si lo abre y la diferencia entre los dos PoC (el original y el mío) lo muestra claramente. En el primero, no había vector de ataque, por lo que no había redirección abierta. Mi PoC tenía un vector de ataque, sin filtrado, por lo que había una redirección abierta. Pero, como puede ver, si había o no una redirección abierta dependía de mí, el desarrollador y no de Koa.JS. Aún mejor, si había una redirección o no también dependía de mí. Si incluí la entrada proporcionada por el usuario como/en la URL de redirección de una manera insegura también dependía de mí. ¿De qué vulnerabilidad Koa.JS estamos hablando entonces? Técnicamente, no había una vulnerabilidad y alguien aún le asignó una gravedad crítica. No exactamente profesional.

De todos modos, vamos a “explotar” dicha “vulnerabilidad” implementada por el PoC adecuado. Tenga en cuenta que tuve que cambiar el puerto de servicio de 3000 a 4444 porque ya tenía algo escuchando en el puerto 3000.

Podemos ver que el Locationencabezado de respuesta tiene el valor javascript:alert(1). Luego, el navegador redirige a…

¡Eh, estoy a salvo! No apareció ningún cuadro de alerta. Sí, podría ingresar https://google.comcomo el valor del vectorparámetro de consulta y ser redirigido a Google, por lo que mi aplicación (PoC) es vulnerable a la redirección abierta, pero no por Koa, sino porque pasé datos de usuario sin filtrar a ctx.redirect. No es algo que me preocupe, nunca haría esto.

Una cosa importante a tener en cuenta de los comentarios del problema en GitHub es lo siguiente:

El problema surge del hecho de que Koa imprime un hipervínculo HTML en el cuerpo de la respuesta de redireccionamiento y eso puede desencadenar un ataque de secuencias de comandos entre sitios.

¡Ah, eso tiene un poco más de sentido! A ver si sigue siendo así.

No, ya no es el caso. No hay cuerpo de respuesta. Supongo que puedo concluir que esta "vulnerabilidad" no me afecta. Puedo ir y marcarlo como falso positivo en Dependency Track.

Análisis de contexto

Propongo que todos los profesionales de seguridad adopten el "Análisis de contexto" y lo realicen antes de informar "problemas". Deje que este sea otro ejemplo y le muestre cómo se hace. (Sin embargo, le recomiendo que lea CVE-2022–29622: Análisis de (in)vulnerabilidad , ya que explica mucho mejor la importancia del contexto).

  1. Koa.JS listo para usar no lo redirige a ninguna parte. Por lo tanto, no hay ni hubo "redireccionamiento abierto" como lo indica Sonatype OSS Index.
  2. Según el "PoC" proporcionado en GitHub, un desarrollador tenía la oportunidad de hacer algo estúpido que podría conducir a XSS. Pero, vea el #1 arriba. Koa.JS no realizó ninguna redirección por sí solo. Vea el #2 a continuación.
  3. Un desarrollador debe haber implementado su aplicación de manera insegura para que la "vulnerabilidad" informada esté presente. Esto significa que Koa.JS, aunque podría haberlo hecho mejor, no podría llamarlo vulnerable. Es contextualmente inapropiado. La vulnerabilidad en cuestión solo podría estar presente en una aplicación web implementada de forma insegura .

Permítanme darles un ejemplo de cómo se manejan mejor situaciones como esta. Mire este problema que envié a Swagger Parser y cómo se comunicó. Analicemos el informe de problemas:

  1. El título dice "Comportamiento inseguro del solucionador". No estoy hablando de LFI (Inclusión de archivos locales) en el título. Esto se debe a que, si bien existe la posibilidad de inclusión de archivos locales SI ESTOY MAL LAS COSAS, realmente depende de mí, como desarrollador, saber con qué estoy trabajando y cómo lo estoy haciendo. El comportamiento predeterminado era (quizás todavía sea) inseguro. Pero, la biblioteca por sí sola, sin mi participación no hará nada.
  2. Luego, declaro claramente de qué versión de la biblioteca estoy hablando. Hago el contexto aún más claro al enumerar las condiciones bajo las cuales el comportamiento predeterminado inseguro de la biblioteca afectaría una aplicación. Esto deja bastante claro que la biblioteca en sí no es vulnerable, pero tiene un comportamiento inseguro que se puede mejorar para ayudar a los desarrolladores.
  3. Entonces, ahora que se establece el contexto, proporciono un PoC funcional, un fragmento de código vulnerable (que escribí como un PoC, ¡no es parte de Swagger Parser!) y el resultado real de la explotación de una aplicación/servicio vulnerable que usa el biblioteca de forma insegura.
  4. Investigué un poco y descubrí que, como desarrollador, puedo configurar la biblioteca de una manera que mitigue el problema. (hasta cierto punto) compartí esto con los desarrolladores. Si nada más, al menos pueden actualizar la documentación para crear conciencia.
  5. Proporcioné contexto adicional, análisis y un ejemplo de cómo se podrían mejorar las cosas.

Conclusión

En primer lugar, Sonatype debería funcionar mejor con el índice OSS y asegurarse de que la información de la versión esté disponible para cada vulnerabilidad en la base de datos. Eso es lo mínimo. (Puntos de bonificación por eliminar por completo esta entrada específica de la base de datos).

Sospecho que Dependency Track sufre de FOMO, por lo tanto, está dispuesto a informar problemas basados ​​únicamente en la coincidencia del nombre del componente si el número de versión no está disponible. Entiendo hasta cierto punto que no se arriesgarían a pasar por alto una vulnerabilidad crítica. El problema de este comportamiento (falsos positivos) es que no fomenta la adopción del análisis de composición de software. Asustará a los desarrolladores como los falsos positivos del análisis de código estático. Contraproducente.

¡Contexto! ¡El maldito contexto, gente! Propongo:

  1. "Análisis de contexto" para ser adoptado por todos los profesionales de seguridad y realizado antes de informar "problemas"
  2. Distinguir “comportamiento inseguro” de “vulnerabilidad”
  3. Comprender la diferencia entre una biblioteca de software y una aplicación/servicio
Estructuras de datos en JavaScript
Estructuras de datos en JavaScript
¿Qué es una lista vinculada, de todos modos? [Parte 1]
¿Qué es una lista vinculada, de todos modos? [Parte 1]
Entonces, cuéntame acerca de las listas vinculadas
Entonces, cuéntame acerca de las listas vinculadas
Cuando todo lo demás falla, sé creativo
Cuando todo lo demás falla, sé creativo
Mi nave estelar en el fin del mundo
Mi nave estelar en el fin del mundo
Lasaña de calabaza y col rizada
Lasaña de calabaza y col rizada
Sin miedo a fallar, Walker Buehler vuelve a tener éxito en el Juego 6 de la NLCS
Sin miedo a fallar, Walker Buehler vuelve a tener éxito en el Juego 6 de la NLCS
Bueno, con Kell: ¡Amigo, limpia tu intestino!
Bueno, con Kell: ¡Amigo, limpia tu intestino!
Mi vecino
Mi vecino
Brillante
Brillante
Creatividad como brújula
Creatividad como brújula
El efecto del miedo y el dolor en la creatividad
El efecto del miedo y el dolor en la creatividad
El efecto de la soledad en la creatividad
El efecto de la soledad en la creatividad
Pero, ¿y si no tengo adónde regresar?
Pero, ¿y si no tengo adónde regresar?
El dolor invisible
El dolor invisible
Finalmente dejé de fumar
Finalmente dejé de fumar
Ya no me siento culpable por no ser productivo en el encierro
Ya no me siento culpable por no ser productivo en el encierro
Estados Unidos siempre ha sido un desierto brutal y solitario
Estados Unidos siempre ha sido un desierto brutal y solitario
Una breve reseña de dos escenas en 'Borat 2'
Una breve reseña de dos escenas en 'Borat 2'
Su hijo transgénero necesita un terapeuta, y usted también
Su hijo transgénero necesita un terapeuta, y usted también
Lecciones de vida cortesía de mi hijo transgénero
Lecciones de vida cortesía de mi hijo transgénero
Me niego a dejar que la preocupación tenga todo el poder
Me niego a dejar que la preocupación tenga todo el poder
Máscaras faciales irritantes, moda y miedos de COVID-19
Máscaras faciales irritantes, moda y miedos de COVID-19
Samsung Galaxy Note 20 Ultra: teléfono correcto, momento incorrecto
Samsung Galaxy Note 20 Ultra: teléfono correcto, momento incorrecto
MIA una vez atacó 'Give Peace a Chance' de John Lennon
Rolling Stones: Keith Richards se enojó con 1 grupo de fanáticos de la música que criticaron a la banda
El gerente de Led Zeppelin, Peter Grant, vio a una banda falsa ganar un Grammy antes que Zep
Sam Heughan sabe exactamente lo que tomará del set de 'Outlander': 'Me siento como si fuera Jamie cuando me los pongo'
John Lennon dijo 1 línea en 'Revolution' de The Beatles comentó sobre la policía
Petula Clark dijo que 'Downtown' reveló una canción desesperada
La primera canción de los Beatles que fue una de las 'actuaciones más emocionantes' de la banda, según Fab Four Insider
Una mirada retrospectiva al papel de Buddy Ebsen en 'The Andy Griffith Show'
Christopher Nolan una vez se arrepintió de haber leído el 'guion de Pulp Fiction' de Quentin Tarantino
Stevie Nicks 'se aferró' a 1 canción de Joni Mitchell cuando sintió que su carrera musical estaba fallando
Paul McCartney: Suffering hizo buena una canción del 'Álbum blanco' de The Beatles
David Bowie casi escribe un musical compuesto por canciones falsas de Bob Dylan
Cómo murió John Ritter: una mirada retrospectiva a la muerte del actor de 'Three's Company'
Winona Ryder compartió una vez que todos sus personajes fueron escritos como la 'chica fea' al principio de su carrera
Brad Pitt y Harrison Ford tuvieron que inventar 'The Devil's Own' sobre la marcha cuando el 'Guión fue descartado'
Dolly Parton ayudó a su abuela 'inválida' cuando ninguno de los otros nietos lo haría: también le hacía una broma
Mick Jagger dijo que la 'Solicitud de sus majestades satánicas' de los Rolling Stones se inspiró en el ácido, no en los Beatles
La carrera actoral de Bradley Cooper estaba en peligro cuando trabajó con Julia Roberts en este proyecto
Cómo reaccionó Paul McCartney al título de 'Lucy in the Sky with Diamonds' de The Beatles
'Boy Meets World': ¿Por qué Mr. Turner desapareció de la serie?
'El curioso caso de Natalia Grace': ¿Dónde están hoy Nataila, Kristine y Michael Barnett?
La canción de Paul Simon que parodiaba a la perfección a Bob Dylan 
Dolly Parton encontró a Dios en una iglesia abandonada Adolescentes locales utilizados para el sexo
Paul McCartney compartió lo que más le impresionó de John Lennon cuando se conocieron
George Harrison se molestó por no usar la letra de 'Hurdy Gurdy Man' de Donovan
John Lennon dijo que la canción de este B-52 sonaba 'como la música de Yoko'
Billy Crystal y Robin Williams improvisaron todo su cameo de 'Friends'
Quentin Tarantino compartió una vez que el personaje más interesante que escribió fue en 'Pulp Fiction'
Taylor Sheridan acaba de agregar 1 de sus estrellas favoritas de 'Yellowstone' al elenco de 'Lawmen: Bass Reeves'
Donovan comparó 1 de sus canciones con 'Lucy in the Sky with Diamonds' de The Beatles
Judy Norton de 'The Waltons' se dio cuenta de que a veces era 'una mocosa' cuando filmaba el programa
El mejor momento para visitar el lugar de rodaje de 'La casita de la pradera'
¿Por qué Paul McCartney fue 'cauteloso' sobre decir la verdad sobre los Beatles?
Gene Simmons dice que los cómics de KISS podrían "recrear la humanidad"
Ringo Starr se niega a tocar con una pista de clic y eso lo convierte en un mejor baterista
Cómo Melissa Gilbert salvó a un pájaro atrapándolo debajo de su camisón
La canción de los Beatles Peter Asher la llamó la 'mejor canción que he escuchado'
A Nicole Kidman le encantó esta 1 característica atractiva que Michael Keaton y Val Kilmer compartieron como Batman
Paul McCartney dijo un 'Sargento. La canción de Pepper no se trata de heroína
'My Way' de Frank Sinatra no fue tan grande como su 'Old MacDonald'
'Sympathy for the Devil' de los Rolling Stones sonaba originalmente como música brasileña
El consejo de Jimmy Page para músicos jóvenes proviene directamente del Manual del orador motivacional
Prince trabajó en una canción de Stevie Nicks durante una hora y ganó la mitad de las regalías 
Paul McCartney estaba tan estresado por el único concierto cancelado de los Beatles que vomitó
Paul McCartney dijo que 'When I'm Sixty-Four' de The Beatles era una broma
Paul McCartney dijo que tuvo "suerte" de no haber consumido nunca heroína 
John Lennon compartió por qué 'The Tonight Show' fue el programa 'más vergonzoso' en el que jamás había estado
'No duermas en el metro' desconcertó a Petula Clark
Dona tu cabello para ayudar a mantener limpia nuestra agua
¿Cuál es la diferencia entre una democracia y una república?
¿Por qué EE. UU. no tiene un sistema de presentación de impuestos 'sin devolución'?
Ketanji Brown Jackson confirmado como juez de la Corte Suprema
Elon Musk es dueño de Twitter. ¿Qué podría salir mal?
Chief Plenty Coups: líder visionario y defensor de la nación cuervo
Martha Mitchell: la mujer que sabía demasiado sobre Watergate
¿Podría el bosón W recién medido romper el modelo estándar?
5 citas elocuentes y perdurables de Maya Angelou
Hagfish: esta máquina de limo con forma de anguila es la pesadilla de un depredador
La Bienal de Venecia es la 'Olimpiada del Arte'
¿Podrían las centrales eléctricas virtuales ayudar a estabilizar la red energética de EE. UU.?
¿Cuál es la diferencia entre levaduras secas instantáneas y activas?
¿Caduca el repelente de insectos?
Por qué grandes empresas como Tesla y Amazon están dividiendo acciones
¿Qué es una píldora venenosa y Twitter mantendrá a raya a Elon Musk?
The Secrets of Airline Travel Quiz
Los periquitos son súper sociales y son excelentes mascotas
¿Comerías casu marzu, el queso ilegal con gusanos?
Desvelando el enigma de Acuario: explorando la esencia única del aire
Es posible que los refugiados ucranianos nunca regresen a casa, incluso después de que termine la guerra
La mantis orquídea parece una flor, 'pica' como una abeja
¿Tal vez puedes ser demasiado delgado? Conoce el rascacielos más delgado del mundo
Cómo convertir binario en decimal (y viceversa)
Una mirada a las bodas más memorables de la Casa Blanca
¡Grandes escapadas! 5 animales salvajes que se escaparon y se dieron a la fuga
8 señales para identificar los síntomas de una bomba de combustible defectuosa
$ 1,500 hoy compra un pase de Yellowstone para 2172
¿Cuál es el lago más profundo de EE. UU.?
Where in the World Are You? Take our GeoGuesser Quiz
Por qué Sriracha es la salsa picante favorita de todos
¿Quién fue Poncio Pilato, antes y después de la crucifixión de Jesús?
Cómo deshacerse de las moscas de drenaje
¿Es necesario tener una actitud positiva para vencer al cáncer?
¿Qué es el genocidio y Rusia lo está cometiendo en Ucrania?
Pequeño grupo de samaritanos aún practica su antigua religión
¿La cocina de inducción es mejor que la de gas o la eléctrica?
El Atlas Moth es un Behe-moth, más 5 otros hechos
Insect Hotels despliega la alfombra de bienvenida para insectos de todo tipo
El tiempo puede no existir, dicen algunos físicos y filósofos
La montaña más alta del sistema solar es mucho más alta que el Everest
Pripyat: el pueblo fantasma de Ucrania a la sombra de Chernobyl
Los láseres arrojan luz sobre por qué necesita cerrar la tapa antes de descargar
31 Estados con porte abierto y 10 con porte abierto "permisivo"
¿Cuál es la toronja más dulce: blanca, roja o rosada?
La inspiradora y trágica historia de Sophie Scholl, la estudiante que desafió a Hitler
¿Quién posee los derechos de autor, AI o el artista?
Black Panther Show de Marvel será el programa animado más crucial hasta el momento
Por $ 9,800, ¿los 'empacarías' en este Toyota RAV4 2008 de siete plazas?
La sobrina de Luther Vandross tiene algo que decir sobre su desgarradora entrevista posterior al accidente cerebrovascular con Oprah Winfrey
Encuesta: Los demócratas siguen a Trump ya sea que reemplacen a Biden con Biden, Biden o Biden
Cate Blanchett explica por qué está en la película Borderlands
Biden aplaude el fallo de inmunidad de Trump de la Corte Suprema y señala el peligro del poder desenfrenado
Evite que su gato arañe los muebles con estas estrategias respaldadas por la ciencia
Deadpool y Wolverine finalmente desbloquearán las películas de X-Men de Marvel
No es bueno: el huracán Beryl es la primera tormenta de categoría 5 registrada en la historia
QEPD Robert Towne, guionista ganador del Oscar por Chinatown
¿Podrá Simone Biles preparar a SZA para los Juegos Olímpicos?
Beverly Hills Cop: revisión de Axel F: Eddie Murphy se lo toma con calma en el sencillo retroceso de Netflix
El conductor logra voltear el Tesla Cybertruck, no se necesita conducción autónoma
BMW no quiere que los coches quemados en un portacoches salgan a la venta
A Boeing le gustaría que todos dejaran de decir que la prueba Starliner ISS es un fracaso
Un hombre de Luisiana envió una escalofriante advertencia antes de la ola de crímenes
La esposa de Zelensky en realidad no compró un Bugatti Tourbillon a pesar de las afirmaciones de la propaganda rusa
Pasé un fin de semana jugando a distancia y en la nube y fue increíble
La histeria del encierro impulsada por la motosierra de Cate Blanchett la llevó a Borderlands
McLaren simplemente no puede dejar de despedir a los conductores de IndyCar, en realidad le encanta
El Papa Francisco aprueba el primer santo milenario
Resumen del oso: ¿Es Marcus el hombre más amable, suave y sincero de Chicago?
He aquí por qué Eddie Murphy se vio 'obligado' a cambiar su famosa risa
La Corte Suprema dictamina que Trump tiene inmunidad por cualquier delito cometido entre las 9 y las 5
My Elden Ring: Invocaciones de jugadores de Shadow Of The Erdtree, clasificadas
Xbox sufre una interrupción importante [Actualización: está funcionando nuevamente]
¿Recuerda cuando una aerolínea holandesa puso 440 ardillas en una trituradora gigante?
Furgoneta de reparto de Amazon se enciende en una ardiente explosión durante el calor del verano en Houston
Malas noticias para Fani Willis y su caso de interferencia electoral de Trump
Dos niños palestinos están "traumatizados" después de que una mujer supuestamente intentara ahogarlos
Hágase un favor y vaya a ver el mejor evento de speedrunning del año
La aventura de Tiana Bayou rompe 87 años de una extraña princesa de Disney Canon
El popular rapero de YouTube y el famoso mago de TikTok se involucran en una pelea de ladridos virales
Lionsgate se da un año para cambiar el título de Now You See Me 3 a Now You Three Me
La razón salvaje por la que el destino del joven matón en el juicio de YSL Rico tomará más tiempo de lo esperado
Una de las muchas ideas rechazadas de Ryan Reynolds para Deadpool 3 fue un viaje por carretera independiente
El director de Twister no recibió la advertencia de tornado sobre los tornados
A algunos fanáticos de Mortal Kombat les preocupa que el último juego ya esté muerto, pero podría ser más complicado
Land Rover Defender Octa es una bestia de 626 CV que llega a las aves rapaces del mundo
Nuevos errores de código abierto dejan miles de aplicaciones de iOS vulnerables al secuestro
La Corte Suprema escuchará argumentos sobre si la ley de Texas puede determinar sus hábitos pornográficos
Ahora puedes tener el bikini más icónico de la ciencia ficción
Vea cómo Motorweek prueba el Sterling, una versión británica olvidada del Acura Legend
¿Quieres un Corvette pero desearías que pareciera horrible? Chico, ¿tenemos el auto para ti?
Eddie Murphy está cubriendo todo en su gira de prensa Beverly Hills Cop: Axel F
MaXXXine es una pulposa historia de Hollywood que parece demasiado mansa
Estoy rogando a los jugadores de Final Fantasy 14 que simplemente lean el diálogo en Dawntrail
Una aterradora turbulencia envía a un hombre volando hacia un contenedor superior en un video viral
La atleta olímpica Jasmine Camacho-Quinn celebra que su hermano Robert Quinn se dirija al Super Bowl
Mujer encontrada viva y 'jadeando por aire' en bolsa para cadáveres en funeraria de Iowa
Profesor de la Universidad de Purdue arrestado por presuntamente traficar metanfetamina y proponer favores sexuales a mujeres
Chloe Cherry de 'Euphoria' enfrenta cargos de robo por supuestamente robar una blusa de $ 28
Heather Rae y Tarek El Moussa dan la bienvenida a su bebé: 'Nuestros corazones están muy felices'
Tom Girardi asiste a la audiencia para determinar su competencia para ser juzgado por cargos de fraude
Jimmy Buffett, cantante de 'Margaritaville', muere a los 76 años
Rescate de animales advierte 'nunca teñir un pájaro' después de que se encuentra una paloma rosa 'luchando' deambulando por la ciudad de Nueva York
Eric y Jessie James Decker siempre están 'besuqueándose el uno al otro', y a los niños no les gusta
¿Quién es la esposa de Jason Kennedy? Todo sobre Lauren Scruggs Kennedy
Dwayne Johnson dice que su madre está "bien" después de un accidente automovilístico nocturno, "continuará siendo evaluada"
La enfermera Lucy Letby declarada culpable de asesinar a 7 bebés en un hospital británico
Se busca al corredor de los Bengals Joe Mixon por orden de arresto emitida por presuntamente apuntar con un arma de fuego a una mujer
Yasmin Vossoughian de MSNBC dice que el médico descartó sus dolores en el pecho como reflujo y luego comenzó su 'pesadilla'
La hija de Kevin Jonas, Alena, parece toda una adulta en la foto de cumpleaños: '9 años no se siente real'
Danielle Moné Truitt de 'Law & Order' cree que los fanáticos fueron 'engañados; Por Stabler y Benson Kiss Tease
Los compradores están de acuerdo en que esta barredora de pisos Black + Decker es 'mucho más rápida' que una escoba tradicional y está en oferta
Kirstie Alley's Estate enumera la casa de Florida de $ 6 millones de la difunta estrella que le compró a Lisa Marie Presley
Bob Barker, presentador de 'The Price Is Right' desde hace mucho tiempo, muere a los 99 años: 'El MC más grande del mundo'
Molly Ringwald celebra su 22.° aniversario con su esposo Panio Gianopoulos: 'La mejor decisión que he tomado'
Cronología de la relación de Suzanne Somers y Alan Hamel
Marvel está publicando una memoria ficticia de Scott Lang de 'Ant-Man and the Wasp: Quantumania'
Whoopi Goldberg muestra a Kit Harington su inodoro inspirado en 'Juego de tronos': 'Un trono de hierro real'
Matthew McConaughey revela que un adivino le dijo que protagonizara 'Cómo perder a un chico en 10 días'
TJ Watt quiere que Tom Brady y su hermano JJ sean incluidos juntos en el Salón de la Fama de la NFL
Mujer que murió hace 37 años después de ser encontrada inconsciente en una autopista de Georgia identificada como madre desaparecida de 4
¿Quién es la esposa de Patton Oswalt? Todo sobre Meredith Salenger
Todo sobre el impresionante anillo de compromiso de zafiro de Kate Middleton (¡y la reliquia real en la que se inspiró!)
Se cree que los cuerpos pertenecen a raperos desaparecidos desde que se encontró un concierto cancelado: 'No se merecían esto'
Susan Lucci recuerda con lágrimas en los ojos a su difunto esposo y admite que aún no está lista para comenzar a salir con nadie
¿Quién es la esposa de John Cleese? Todo sobre Jennifer Wade
Hay más de 2500 estilos para clima frío escondidos en esta sección de venta secreta en Nordstrom Rack, desde $6
Chelsea Houska de 'Teen Mom' comparte una emotiva reacción a la renovación de la temporada 2 de HGTV Show: 'Significa mucho'
Chica desaparecida, de 17 años, probablemente murió congelada después de conducir a una zanja en una zona rural de Wisconsin: funcionarios
Los compradores de Amazon dicen que duermen 'como un bebé mimado' gracias a estas fundas de almohada de seda que cuestan tan solo $ 10
Melissa Gorga no está segura de si resolverá la disputa con Teresa Giudice: '¿Qué tan tóxico puedes dejar que algo se vuelva?'
Muni Long dice que aún no ha 'procesado' ganando 3 nominaciones al Grammy: 'Todo va tan rápido'
Gwyneth Paltrow revela el vestido de noche que guardó de su relación con Brad Pitt 
Margaret Josephs defiende la decisión 'devastadora' de Melissa y Joe Gorga de saltarse la boda de Teresa Giudice
La familia de Yara Shahidi: todo sobre los padres y hermanos de la actriz
Charly Reynolds revela reciente cirugía de cuerdas vocales: 'Tenía problemas para cantar'
¿Quién es la esposa de Vince Vaughn? Todo sobre Kyla Weber
La cantante de 'Flashdance' Irene Cara murió de hipertensión y colesterol alto: informe
Lizzo obtuvo la marca comercial para '100% ESA perra' en reversión después de que se rechazó la solicitud
Los 4 hijos de Jeff Bezos: todo lo que hay que saber
¿Quién es el marido de Lisa Vanderpump? Todo sobre Ken Todd
Todo sobre la relación de Zoë Kravitz con sus padres Lenny Kravitz y Lisa Bonet
Patinaje artístico de EE. UU. 'frustrado' por falta de decisión final en evento por equipos, pide una decisión justa
¿Cuáles son los efectos negativos de pasar por la pubertad (salud mental, etc.)?
Tengo 14 años, ¿qué consejo le gustaría darme que me sea útil para el resto de mi vida?
¿Qué es lo más importante que debe tener en cuenta un adolescente de 14 años?
¿Se recomienda la TRH para adolescentes transgénero?
¿Cómo vivo la vida al máximo cuando tengo 19 años?
Acabo de cumplir 17 años, ¿qué hago ahora para garantizarme la mejor vida?
Tengo 19 años. ¿Todavía estoy pasando por la pubertad?
¿Es 18 una buena edad para comenzar la transición a MTF?
¿Por qué nunca he visto a una persona transgénero de mujer a hombre?
Voy a cumplir 16 mañana. ¿Qué consejo específico le puedes dar a un chico de 16 años?
¿Cuál es la mejor manera de hacer una transición natural de hombre a mujer?
¿La espironolactona es mala para la TRH?
¿Cómo empiezo mi transición de hombre a mujer? Siempre he sido una niña por dentro. ¿Que necesito hacer?
Cumplo 16 y cumplo 17 el mes que viene. ¿Cómo hago para conseguir un terapeuta si mi mamá cree que no lo necesito?
Tengo 23 años. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
¿Cómo puedo cambiar mi vida a los 17?
Tengo 17 años y planeo hacer TRH cuando me gradúe este año a los 18 años. Hasta entonces, ¿qué podía hacer para sentirme más mujer?
Transgénero: ¿Cuál fue la parte más difícil de su transición de hombre a mujer?
Como un niño de 13 años, ¿cómo puedo ahorrar y almacenar dinero sin que mis padres lo sepan?
Tengo 19 hoy. ¿Qué es lo más importante que debo aprender?
¿Todo el mundo pasa por la pubertad?
¿Cuáles son los pros y los contras de la pubertad?
¿Sigo siendo transgénero (FTM) si solo comencé a mostrar signos cuando llegué a la pubertad?
¿Cómo hago una cita con el médico sin que mis padres y ellos sepan el motivo por el que voy? Tengo 15.
Tengo 13 años, transgénero (ftm) y he estado viendo a un terapeuta durante algunos meses. ¿Cómo puedo decirle que soy transgénero y pedirle que me aconseje que se declare?
Tengo 17 años, ¿qué debo hacer para obtener más conocimiento?
Durante la transición de género de hombre a mujer, ¿cómo se siente crecer los senos?
Estoy en transición de mujer a hombre. ¿Cuál debería ser mi nuevo nombre?
Soy un niño de 13 años deprimido y quiero ver a un médico al respecto, pero tengo miedo de hacerlo y de que mis padres lo consideren solo mis hormonas y demás. ¿Qué tengo que hacer?
¿Qué puede hacer un niño de 14 años para mejorar o facilitar su vida?
Tengo 19 años y soy hijo único. Me deprimo y me preocupa que les pase algo a mis padres porque son todo lo que tengo. No tengo amigos y no he podido hacer ninguno con la pandemia. Tengo miedo de estar solo, ¿qué puedo hacer para ayudarme?
Soy estudiante universitaria de 21 años. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
¿Qué es lo más útil que puedo hacer cuando tenga 14 años?
Soy una chica de 14 años que se aburre fácilmente de sus hobbies. ¿Cómo encuentro mi pasión y talento?
¿Está bien que tenga 13 años pero que siga siendo un niño de corazón?
¿Qué medicamentos pueden cambiar de hombre a mujer sin cirugía?
¿La pubertad ocurre en etapas? ¿Puede detenerse y luego comenzar de nuevo?
¿Cómo detengo la pubertad sin bloqueadores de la pubertad?
Si quiero informarme para iniciar un tratamiento de cambio de género, ¿a qué tipo de médico debo acudir?
¿Qué cambios ocurrirán si comienza la TRH a los 13?
¿Es una buena idea comenzar la TRH a los 18 años (transgénero)?
¿Cómo obtengo la TRH sin decir que quiero la TRH?
¿Vale la pena la cirugía de glúteos para una transición de hombre a mujer?
¿Qué debería pasar si nunca llegas a la pubertad?
¿Cuáles son las habilidades necesarias para la vida que puedo dominar en este verano de 3 meses? Tengo 17 años de edad.
En su opinión, ¿cuál es la transición de género más difícil, de mujer a hombre (FtM) o de hombre a mujer (MtF)?
¿Cuál es la mejor edad para comenzar la transición de mujer a hombre?
Tengo 30 años de edad. ¿Qué puedo hacer ahora que cambiará mi vida para siempre?
winforms C # .NET - Cómo mejorar el rendimiento de mi código mientras uso bucles (for, foreach, etc.) [cerrado]
Tamaño int_fast8_t frente a tamaño int_fast16_t en la plataforma x86-64
¿Cómo quitar los anillos de Saturno?
Recuperando el valor href de un campo de enlace de un elemento de enlace en scriban [duplicado]
¿Podría Urano tener una superficie sólida debido a su composición interna y falta de calor interno?
Sobre un consejero de doctorado que rechaza a un estudiante por problemas de salud
Pide permiso a [prefijo] [infijo] [sufijo]. ¿Qué es [entero]?
Principio de reflexión vs universos
Selección de Joomla de la agrupación DB AND / OR
La historia de la moda de hombres lobo, parte 1: la década de 2000
Regex_search c ++
Rompecabezas deslizante 3 x 2
¿Cómo controlar los límites de velocidad en las carreteras en la época medieval? [duplicar]
¿Se pueden caracterizar antichains máximos en términos de retículas distributivas?
¿Por qué las frutas y verduras en escabeche no formaban parte de las raciones (europeas) durante la Era de la Vela?
Prueba alfa de suscripción para un nuevo editor de pilas
"Cuarenta días y cuarenta noches"
¿Cuál es la forma correcta de cerrar un C# Socket en .NET Core 3.1?
¿Tengo que abrir el código fuente de mi aplicación si utilizo datos de API sin modificar con licencia CC-BY-SA 4.0?
Cómo obtener un texto específico que pertenece a la clase div
¿Se puede emplear el árbol de Stern-Brocot para una mejor convergencia de $2^m/3^n$?
Efecto Wilson: ¿Qué tan “profundas” son las manchas solares?
Moisés grupo inicial de líderes Éxodo 18:21
Si el decapado destruye la vitamina C, ¿cómo es el chucrut rico en vitamina C?
¿Cuál es la matriz de logaritmo del operador derivado ( $\ln D$)? ¿Cuál es el papel de este operador en varios campos matemáticos?
¿Cómo enumerar mis trabajos de k8s con un LabelSelector complejo por client-go?
¿Es ofensivo matar a mi personaje gay al final de mi libro?
Eliminar el borde interior en type = color
¿Puede la Corte Suprema declarar inconstitucional un juicio político? [duplicar]
¿Cómo coloco cristales en un palo de chamán sin usar adhesivo?
¿Cuáles son las mayores barreras para la producción de RL?
java: obtiene el recuento de todas las claves y valores distintos en Map <String, Set <String>> [duplicate]
Estudio de caso: ¿qué se necesita para formular y probar el argumento del objeto pequeño de Quillen en ZFC?
¿Cuál es la regla para hacer la guerra en las ciudades?
Kubernetes: ¿es posible combinar Pod.yaml y Service.yaml en un archivo yaml (pero sin implementación)?
La forma más limpia de usar BeginTransaction usando try catch
La luna tiene la velocidad justa para no estrellarse contra la Tierra o escapar al espacio. ¿Cuáles son las probabilidades?
Demostrar que una secuencia $\{a_n\}_n$definido por $a_1=-\frac14$y $-a_{n+1}=\frac{a_na_{n+1}+4}4$es convergente y encuentra su límite.
¿Existe una posición de mate forzada doble?
Una inmersión más profunda en el incidente de seguridad de mayo de 2019: comentarios de la publicación del blog
¿Qué tan grande debería ser un código QR en mi techo para que un satélite pueda escanearlo dada la resolución permitida de hoy?
¿Podemos generar electricidad a partir de tormentas de arena marcianas? Si es así, ¿se puede utilizar para alimentar colonias?
¿Cómo ver si una matriz tiene 2 o más elementos iguales? [duplicar]
" $\Sigma_1^1$-Peano aritmética ”: ¿precisa $\mathbb{N}$?
proxy nginx a Tomcat con SSL
MOC: una pregunta sobre el uso de la marca comercial LEGO
¿Qué son las bombas de Ellerman y cómo podemos identificarlas?
5 técnicas de escritura creativa que conducen a artículos interesantes
5 técnicas de escritura creativa que conducen a artículos interesantes
Un chatbot para el control de activos
Un chatbot para el control de activos
Silencio
Silencio
Confiar en su primer instinto en una relación es vital
Confiar en su primer instinto en una relación es vital
Lo que estamos construyendo en 2020
Lo que estamos construyendo en 2020
Haciendo más específicas las supresiones de errores de flujo
Haciendo más específicas las supresiones de errores de flujo
Los mejores lenguajes de programación para ingenieros de inteligencia artificial en 2020
Los mejores lenguajes de programación para ingenieros de inteligencia artificial en 2020
Razones para elegir PyTorch para el aprendizaje profundo
Razones para elegir PyTorch para el aprendizaje profundo
Samantha Lazar
Samantha Lazar
El remolino de un año
El remolino de un año
La invitación
La invitación
Dos repositorios de Python para visualización de texto
Dos repositorios de Python para visualización de texto
Aprovechando al máximo: diseño de UX de aplicaciones híbridas
Aprovechando al máximo: diseño de UX de aplicaciones híbridas
Notificación y alarmas en Flutter
Notificación y alarmas en Flutter
6 cosas que aprendí de Brendon Burchard
6 cosas que aprendí de Brendon Burchard
Las personas altamente productivas tienen una rutina matutina ritualista
Las personas altamente productivas tienen una rutina matutina ritualista
Haz lo que más te importa antes del mediodía
Haz lo que más te importa antes del mediodía
Por qué no debería tomarse las cosas personalmente
Por qué no debería tomarse las cosas personalmente
5 cosas que los grandes triunfadores tienen en común
5 cosas que los grandes triunfadores tienen en común
Halloween en el espectro
Halloween en el espectro
Soy un adulto autista y odio Halloween
Soy un adulto autista y odio Halloween
Nunca pensé que estaría asintiendo en aprobación por la decencia de George W. Bush
Nunca pensé que estaría asintiendo en aprobación por la decencia de George W. Bush
El surgimiento de las finanzas descentralizadas
El surgimiento de las finanzas descentralizadas
Visualizando el crecimiento explosivo de DeFi en 2020
Visualizando el crecimiento explosivo de DeFi en 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved