Analisis Kebal Koa.JS alias Mengapa Industri Keamanan Tidak Memahami Perangkat Lunak?

Nov 26 2022
Kekesalan saya sangat tinggi karena hal itu baru saja terjadi lagi. Jika Anda telah membaca analisis saya sebelumnya yang berjudul CVE-2022–29622: Analisis (Dalam)kerentanan, Anda mungkin menduga apa yang saya maksud.

Kekesalan saya sangat tinggi karena hal itu baru saja terjadi lagi. Jika Anda telah membaca analisis saya sebelumnya yang berjudul CVE-2022–29622: (Dalam)Analisis Kerentanan , Anda mungkin menduga apa yang saya maksud. Cerita yang sama, korban yang berbeda. Namun, tanggal penting dalam kasus ini. Analisis kekebalan saya sebelumnya adalah dari tahun 2022, hari ini saya akan menganalisis masalah lain dari tahun 2018.

Anda mungkin bertanya: "Mengapa Anda harus berurusan dengan sesuatu dari tahun 2018?" Pertanyaan yang bagus! Karena saya baru saja mengaktifkan Dependency Track untuk menarik informasi kerentanan dari OSS Index Sonatype.

“Kerentanan” Koa.JS dari 2018 (positif palsu)

Hari ini saat saya menelusuri SCA untuk melihat apakah kami memiliki komponen yang rentan, dan jika ada, prioritaskan pekerjaan perbaikan. Saya menemukan sesuatu yang sangat mengejutkan. Koa.JS memiliki kerentanan kritis?! Setelah seperti biasa “#FFS, seluruh minggu saya perlu diatur ulang.”, Saya seperti: “Tarik napas dalam-dalam dan lihat tentang apa ini. Anda ingat apa yang terjadi terakhir kali ... "

Jalur Ketergantungan menampilkan informasi kerentanan

Dan begitulah yang saya lakukan. Pertama-tama, judulnya memperjelas bahwa “masalah” ditemukan pada tahun 2018. Sekarang, mengapa saya memiliki kerentanan di perpustakaan yang masih dipertahankan dan saya terus meningkatkan ke versi terbaru? Pada titik ini bagian investigasi otak saya bekerja.

Apa yang kita ketahui/lihat saat ini?

  1. Diduga ada kerentanan di Koa pada tahun 2018 dengan tingkat keparahan Kritis ditetapkan
  2. Menurut Sonatype OSS Index dan Dependency Track, masalah ini memengaruhi saya pada tahun 2022 saat menjalankan Koa versi terbaru
  • Versi perpustakaan Koa.JS mana yang terpengaruh oleh "kerentanan"
  • Jika "kerentanan" hadir di Koa.JS terbaru

Analisis Masalah

Mari kita lihat apa itu "kerentanan". Izinkan saya menautkan dengan cepat masalah terkait #1250 dari GitHub di sini. Saya hanya akan menyalin-tempel contoh (PoC?) Di bawah ini agar kami dapat menganalisisnya.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.redirect("javascript:alert(1);")
});

app.listen(3000);

“Sebagai pengembang aplikasi web atau layanan web, saya dapat mengarahkan browser Anda ke mana pun yang saya inginkan jika Anda mengunjungi situs web saya.”

Itulah arti kode di atas. Di PoC di atas tidak ada vektor serangan yang disajikan untuk aktor jahat untuk mengeksploitasi apa pun.

Jika Anda ingin memberikan "PoC" yang tepat untuk non-kerentanan ini (ya, saya baru saja mengatakannya), akan terlihat seperti ini:

const Koa = require('koa');
const app = new Koa();
// Try: http://localhost:3000/?vector=javascript:alert(1);
app.use(async ctx => {
  ctx.redirect(ctx.request.query.vector);
});

app.listen(3000);

Berbicara tentang kerentanan XSS, jika apa pun yang saya masukkan sebagai nilai vectorparameter ditampilkan dalam konteks HTML dengan tidak aman, aplikasi yang saya terapkan akan rentan terhadap Cross Site Scripting. (Lebih lanjut tentang ini nanti)

Memperbesar bagaimana Sonatype menyajikan ini dan menganalisisnya sedikit lebih jauh:

“Buka Redirect yang mengarah ke Cross-Site Scripting”? Pertama-tama, tidak ada pengalihan terbuka. Ini hanya terbuka jika Anda membukanya dan perbedaan antara kedua PoC (yang asli dan milik saya) dengan jelas menunjukkan hal ini. Yang pertama, tidak ada vektor serangan, jadi tidak ada pengalihan terbuka. PoC saya memiliki vektor serangan, tidak ada pemfilteran, sehingga ada pengalihan terbuka. Tapi, seperti yang Anda lihat, ada atau tidaknya pengalihan terbuka bergantung pada saya, pengembangnya, dan bukan Koa.JS. Lebih bagusnya lagi, ada redirect atau tidak juga tergantung saya. Apakah saya menyertakan masukan yang disediakan pengguna sebagai/dalam URL pengalihan dengan cara yang tidak aman juga terserah saya. Kerentanan Koa.JS apa yang sedang kita bicarakan? Secara teknis, tidak ada kerentanan dan seseorang masih memberikan tingkat keparahan Kritis padanya. Tidak sepenuhnya profesional.

Bagaimanapun, mari kita "eksploitasi" kata "kerentanan" yang diterapkan oleh PoC yang tepat. Harap dicatat bahwa saya harus mengubah port layanan dari 3000 ke 4444 karena saya sudah mendengarkan sesuatu di port 3000.

Kita bisa melihat Locationrespon header memiliki nilai javascript:alert(1). Kemudian, browser dialihkan ke…

Hah, aku aman! Tidak ada kotak peringatan yang muncul. Ya, saya bisa memasukkan https://google.comnilai vectorparameter kueri dan dialihkan ke Google, jadi aplikasi saya (PoC) rentan terhadap pengalihan terbuka, tetapi bukan karena Koa, tetapi karena saya meneruskan data pengguna yang tidak difilter ke ctx.redirect. Itu bukan sesuatu yang saya khawatirkan, saya tidak akan pernah melakukan ini.

Hal penting yang perlu diperhatikan dari komentar masalah di GitHub adalah sebagai berikut:

Masalahnya berasal dari fakta bahwa Koa mencetak hyperlink HTML di badan respons pengalihan dan itu dapat memicu serangan skrip lintas situs.

Ah, itu lebih masuk akal! Mari kita lihat apakah itu masih terjadi.

Tidak, bukan itu masalahnya lagi. Tidak ada badan tanggapan. Saya kira saya dapat menyimpulkan bahwa "kerentanan" ini tidak memengaruhi saya. Saya bisa pergi dan menandainya sebagai false positive di Dependency Track.

Analisis Konteks

Saya mengusulkan "Analisis Konteks" untuk diadopsi oleh semua profesional keamanan dan dilakukan sebelum melaporkan "masalah". Biarkan ini menjadi contoh lain dan tunjukkan cara melakukannya. (Saya tetap menyarankan Anda membaca CVE-2022–29622: (In)vulnerability Analysis karena ini menjelaskan pentingnya konteks jauh lebih baik.)

  1. Koa.JS out-of-the-box tidak mengarahkan Anda ke mana pun. Oleh karena itu, ada dan tidak ada "Open Redirect" seperti yang dinyatakan oleh Sonatype OSS Index.
  2. Berdasarkan “PoC” yang disediakan di GitHub, ada peluang bagi pengembang untuk melakukan sesuatu yang bodoh yang dapat mengarah ke XSS. Tapi, lihat # 1 di atas. Koa.JS tidak melakukan redirect sendiri. Lihat #2 di bawah.
  3. Pengembang harus mengimplementasikan aplikasinya dengan cara yang tidak aman agar "kerentanan" yang dilaporkan ada. Ini cukup berarti bahwa Koa.JS meskipun bisa melakukan lebih baik, Anda tidak bisa menyebutnya rentan. Itu tidak pantas secara kontekstual. Kerentanan tersebut hanya dapat hadir dalam aplikasi web yang diimplementasikan secara tidak aman .

Biarkan saya memberi Anda contoh bagaimana situasi seperti ini paling baik ditangani. Lihat masalah ini yang saya serahkan ke Swagger Parser dan bagaimana hal itu dikomunikasikan. Mari kita menganalisis laporan masalah:

  1. Judulnya mengatakan “Insecure Resolver Behavior”. Saya tidak berbicara tentang LFI (Local File Inclusion) di judulnya. Ini karena meskipun ada potensi penyertaan file lokal JIKA SAYA MENGACAUKAN HAL-HAL, itu benar-benar tergantung pada saya sebagai pengembang untuk mengetahui apa yang sedang saya kerjakan dan bagaimana saya mengerjakannya. Perilaku default (mungkin masih) tidak aman. Tapi, perpustakaan itu sendiri, tanpa keterlibatan saya tidak akan berbuat apa-apa.
  2. Kemudian, saya dengan jelas menyatakan versi perpustakaan mana yang saya bicarakan. Saya membuat konteksnya lebih jelas dengan mencantumkan kondisi di mana perilaku default perpustakaan yang tidak aman akan memengaruhi aplikasi. Ini memperjelas bahwa perpustakaan itu sendiri tidak rentan, tetapi memiliki perilaku tidak aman yang dapat diperbaiki untuk membantu pengembang.
  3. Jadi sekarang setelah konteksnya diatur, saya memberikan PoC yang berfungsi, cuplikan kode yang rentan (yang saya tulis sebagai PoC, itu bukan bagian dari Swagger Parser!) Dan hasil nyata dari eksploitasi aplikasi/layanan rentan yang menggunakan perpustakaan dengan tidak aman.
  4. Saya melakukan beberapa penyelidikan dan menemukan bahwa sebagai pengembang saya benar-benar dapat mengonfigurasi perpustakaan dengan cara yang mengurangi masalah. (sampai batas tertentu) saya membagikan ini dengan para devs. Jika tidak ada yang lain, setidaknya mereka dapat memperbarui dokumentasi untuk meningkatkan kesadaran.
  5. Saya memberikan konteks tambahan, analisis, dan contoh bagaimana hal-hal dapat diperbaiki.

Kesimpulan

Pertama-tama, Sonatype harus bekerja lebih baik dengan Indeks OSS dan memastikan informasi versi tersedia untuk setiap kerentanan dalam database. Itu minimal. (Poin bonus untuk menghapus entri khusus ini dari database seluruhnya.)

Saya menduga Dependency Track menderita FOMO, oleh karena itu, bersedia melaporkan masalah murni berdasarkan kecocokan nama komponen jika nomor versi tidak tersedia. Saya memahami sampai batas tertentu bahwa mereka tidak akan mengambil risiko kehilangan kerentanan kritis. Masalah dengan perilaku ini (positif palsu) adalah tidak mendorong penerapan Analisis Komposisi Perangkat Lunak. Ini akan menakuti pengembang seperti positif palsu dari analisis kode statis. Kontraproduktif.

Konteks! Konteks berdarah, semuanya! Saya melamar:

  1. "Analisis Konteks" untuk diadopsi oleh semua profesional keamanan dan dilakukan sebelum melaporkan "masalah"
  2. Membedakan "perilaku tidak aman" dari "kerentanan"
  3. Memahami perbedaan antara pustaka perangkat lunak dan aplikasi/layanan
Struktur Data di JavaScript
Struktur Data di JavaScript
Apa itu Linked List? [Bagian 1]
Apa itu Linked List? [Bagian 1]
Jadi, Ceritakan Tentang Daftar Tertaut
Jadi, Ceritakan Tentang Daftar Tertaut
Ketika Semua Gagal, Jadilah Kreatif
Ketika Semua Gagal, Jadilah Kreatif
Kapal Luar Angkasa Saya di Ujung Dunia
Kapal Luar Angkasa Saya di Ujung Dunia
Lasagna labu dan kale
Lasagna labu dan kale
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Well with Kell: Friend, Clean Your Gut!
Well with Kell: Friend, Clean Your Gut!
Tetanggaku
Tetanggaku
Berkilau
Berkilau
Kreativitas sebagai Kompas
Kreativitas sebagai Kompas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Solitude pada Kreativitas
Pengaruh Solitude pada Kreativitas
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Duka yang Tak Terlihat
Duka yang Tak Terlihat
Saya Akhirnya Berhenti Merokok
Saya Akhirnya Berhenti Merokok
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Ulasan Singkat Dua Adegan di 'Borat 2'
Ulasan Singkat Dua Adegan di 'Borat 2'
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Pelajaran Hidup Courtesy of My Transgender Son
Pelajaran Hidup Courtesy of My Transgender Son
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
Winona Ryder Pernah Membagikan Semua Karakternya Ditulis Sebagai 'Gadis Jelek' Di Awal Karirnya
Nicole Kidman Menyukai 1 Fitur Menarik Ini Yang Dibagikan Michael Keaton dan Val Kilmer sebagai Batman
Bagaimana Paul McCartney Bereaksi terhadap Judul The Beatles 'Lucy in the Sky with Diamonds'
Bagaimana Melissa Gilbert Menyelamatkan Seekor Burung dengan Menjebaknya di Bawah Baju Tidurnya
Gene Simmons Mengatakan Buku Komik KISS Berpotensi “Menciptakan Kembali Kemanusiaan
Judy Norton dari 'The Waltons' Menyadari Dia Kadang-kadang 'A Brat' Saat Syuting Pertunjukan
George Harrison Kesal Liriknya untuk 'Hurdy Gurdy Man' Donovan Tidak Digunakan
Paul McCartney Sangat Tertekan Tentang Satu-satunya Acara The Beatles yang Dibatalkan Sehingga Dia Muntah
Dolly Parton Menemukan Tuhan di Sebuah Gereja Terbengkalai Remaja Lokal Digunakan untuk Seks
Donovan Membandingkan 1 Lagunya dengan 'Lucy in the Sky with Diamonds' The Beatles
John Lennon Membagikan Mengapa 'The Tonight Show' Adalah Pertunjukan 'Paling Memalukan' yang Pernah Dia Ikuti
Quentin Tarantino Pernah Membagikan Karakter Paling Menarik yang Pernah Dia Tulis di 'Pulp Fiction'
Mick Jagger Mengatakan 'Permintaan Yang Mulia Setan' The Rolling Stones Terinspirasi oleh Acid, Bukan The Beatles
Nasihat Jimmy Page untuk Musisi Muda Langsung Dari Buku Pegangan Pembicara Motivasi
Melihat Kembali Peran Buddy Ebsen di 'The Andy Griffith Show'
Christopher Nolan Pernah Menyesal Membaca 'Naskah Pulp Fiction' Quentin Tarantino
'Jangan Tidur di Kereta Bawah Tanah' Bingung Petula Clark
Sam Heughan Tahu Persis Apa yang Akan Dia Ambil Dari Set 'Outlander' - 'Saya Merasa Seperti Saya Jamie Ketika Saya Memakainya'
Brad Pitt dan Harrison Ford Harus Mengarang 'The Devil's Own' dengan Cepat Ketika 'Naskah Dibuang'
Paul McCartney Membayangkan Bagaimana Reaksi Ibunya terhadap Kesuksesannya
Taylor Sheridan Baru Menambahkan 1 Bintang 'Yellowstone' Favoritnya ke Pemeran 'Lawmen: Bass Reeves'
Stevie Nicks 'Latched' ke 1 Lagu Joni Mitchell Ketika Dia Merasa Karier Musiknya Gagal
Waktu Terbaik Mengunjungi Lokasi Syuting 'Little House on the Prairie'
Paul McCartney Membagikan Apa yang Paling Membuatnya Terkesan Tentang John Lennon Ketika Mereka Pertama Kali Bertemu
John Lennon Mengatakan 1 Baris dalam 'Revolusi' The Beatles Mengomentari Polisi
'Simpati untuk Iblis' The Rolling Stones Awalnya Terdengar Seperti Musik Brasil
Lagu The Early Beatles yang Menjadi Salah Satu 'Penampilan Paling Menyenangkan' Band, Menurut Fab Four Insider
Paul McCartney: Penderitaan Membuat 1 Lagu Dari The Beatles 'White Album' Bagus
Manajer Led Zeppelin Peter Grant Melihat Band Palsu Memenangkan Grammy Sebelum Zep melakukannya
'Kasus Penasaran Natalia Grace': Di Mana Natalia, Kristine, dan Michael Barnett Hari Ini?
Karier Akting Bradley Cooper Dipertaruhkan Ketika Dia Bekerja Dengan Julia Roberts dalam Proyek Ini
Rolling Stones: Keith Richards Kesal Oleh 1 Kelompok Penggemar Musik Yang Mengkritik Band
Paul McCartney Mengatakan Dia 'Beruntung' Dia Tidak Pernah Menggunakan Heroin 
John Lennon Mengatakan Lagu B-52 Ini Terdengar 'Persis Seperti Musik Yoko'
Billy Crystal dan Robin Williams Ad-Libbed Seluruh Cameo 'Teman' Mereka
Jana Duggar: Semua yang Dia Katakan Tentang Cinta dan Jendela 5 Tahunnya untuk Menemukan 'Yang Satu'
Bagaimana John Ritter Meninggal: Melihat Kembali Kematian Aktor 'Three's Company'
Paul McCartney Mengatakan 'When I'm Sixty-Four' The Beatles Adalah Sebuah Lelucon
Paul McCartney Mengatakan 'Sersan. Lagu Pepper Bukan Tentang Heroin
David Bowie Hampir Menulis Musikal yang Terdiri dari Lagu Bob Dylan Palsu
'Boy Meets World': Mengapa Mr. Turner Menghilang Dari Seri?
Prince Mengerjakan Lagu Stevie Nicks selama satu Jam dan Mendapat Setengah dari Royalti 
Lagu Paul Simon yang Memparodikan Bob Dylan dengan Sempurna 
Ringo Starr Menolak Bermain Dengan Track Klik, dan Itu Membuatnya Menjadi Drummer yang Lebih Baik
Petula Clark Said 'Downtown' Mengungkap Lagu Putus asa
MIA Pernah Menyerang 'Give Peace a Chance' John Lennon
Dolly Parton Membantu Neneknya yang 'Cacat' Ketika Tidak Ada Cucu Lain yang Mau—Dia Juga Mengerjainya
Lagu The Beatles Peter Asher Disebut 'Lagu Terhebat yang Pernah Saya Dengar'
'Heatflasi': Bagaimana Suhu Tinggi Membuat Harga Pangan Melonjak
Elon Musk Pemilik Twitter. Apa yang Mungkin Salah?
Pemikiran Objektif vs. Pemikiran Subjektif dan Aplikasinya
Apakah Memasak Induksi Lebih Baik Dari Gas atau Listrik?
The Secrets of Airline Travel Quiz
Gunung Tertinggi di Tata Surya Jauh Lebih Tinggi Dari Everest
Sonifikasi: Mendengarkan Suara Menghantui Alam Semesta
Cara Membasmi Lalat Tiriskan
Maukah Anda Makan Casu Marzu, Keju Ilegal Dengan Belatung?
Kisah Inspiratif dan Tragis Sophie Scholl, Siswa yang Menentang Hitler
Sekelompok Kecil Orang Samaria Masih Mempraktekkan Agama Kuno Mereka
Mungkin Anda Bisa Terlalu Kurus? Temui Pencakar Langit Terkurus di Dunia
Manakah Grapefruit yang Paling Manis – Putih, Merah atau Merah Muda?
Bisakah Pembangkit Listrik Virtual Membantu Menstabilkan Jaringan Energi AS?
5 Kutipan Fasih dan Abadi Dari Maya Angelou
Chief Plenty Coups: Pemimpin Visioner dan Pembela Negara Gagak
Hagfish: Mesin Slime Seperti Belut Ini Adalah Mimpi Buruk Predator
Cara Mengatur Ulang Pabrik iPhone Anda
Budgie Sangat Sosial dan Menjadi Hewan Peliharaan yang Hebat
Mengapa AS Tidak Memiliki Sistem Pengarsipan Pajak 'Bebas Pengembalian'?
Bisakah Kita Menyelamatkan Badak Sumatera dari Kepunahan?
Apa itu Corengan, dan Bisakah Itu Memurnikan Ruang Energi Negatif?
Trovant Adalah Batu Yang Tampaknya Tumbuh, Bergerak, dan Bereproduksi
Ketanji Brown Jackson Dikonfirmasi sebagai Hakim Agung
Ngengat Atlas Adalah Ngengat Behe, Ditambah 5 Fakta Lainnya
$1.500 Hari Ini Membeli Yellowstone Pass seharga 2172
Venice Biennale Adalah 'Olimpiade Seni'
Where in the World Are You? Take our GeoGuesser Quiz
Apa Perbedaan Antara Demokrasi dan Republik?
Apa Perbedaan Ragi Kering Instan dan Aktif?
Waktu Mungkin Tidak Ada, Kata Beberapa Fisikawan dan Filsuf
Apakah Anda Perlu Memiliki Sikap Positif untuk Mengalahkan Kanker?
Mengapa Perusahaan Besar Seperti Tesla dan Amazon Memisahkan Saham
Haruskah Anda Menggunakan Facebook atau Google untuk Masuk ke Situs Lain?
Apa itu Kelembapan dan Bagaimana Kelembapan Mempengaruhi Suhu?
Melihat Pernikahan Paling Berkesan di Gedung Putih
Siapakah Pontius Pilatus, Sebelum dan Setelah Penyaliban Yesus?
Pengungsi Ukraina Mungkin Tidak Pernah Kembali ke Rumah, Bahkan Setelah Perang Berakhir
Dari Mana Frasa "Di Lam" Berasal?
Bisakah Boson W yang Baru Diukur Mematahkan Model Standar?
Hotel Serangga Meluncurkan Tikar Selamat Datang untuk Segala Jenis Serangga
Mengapa Sriracha Adalah Saus Panas Favorit Semua Orang
Ikon Hak Sipil Fred Gray Menerima Presidential Medal of Freedom
Pelarian Hebat! 5 Hewan Liar Yang Menyerang dan Berlari
Apa itu Pil Racun dan Akankah Twitter Menjaga Elon Musk di Teluk?
Apa Itu Genosida, dan Apakah Rusia Melakukannya di Ukraina?
Pripyat: Kota Hantu Ukraina di Bayangan Chernobyl
Donasikan Rambut Anda untuk Membantu Menjaga Air Kami Tetap Bersih
RIP Robert Towne, penulis skenario Chinatown pemenang Oscar
Mahkamah Agung Akan Mendengarkan Argumen tentang Apakah Hukum Texas Dapat Menentukan Kebiasaan Porno Anda
Xbox Mengalami Gangguan Besar [Pembaruan: Berfungsi Kembali]
Bug Open Source Baru Membuat Ribuan Aplikasi iOS Rentan terhadap Pembajakan
Lionsgate memberi waktu satu tahun untuk mengubah judul Now You See Me 3 menjadi Now You Three Me
Inilah Mengapa Eddie Murphy 'Dipaksa' Mengubah Tawanya yang Terkenal
My Elden Ring: Pemanggilan Pemain Shadow Of The Erdtree, Peringkat
Salah satu Ide Deadpool 3 yang Banyak Ditolak Ryan Reynolds adalah Road Trip Indie
Pertunjukan Black Panther Marvel Akan Menjadi Pertunjukan Animasi Paling Penting
Dengan Harga $9.800, Maukah Anda 'Mengemasnya' di Toyota RAV4 2008 Tujuh Tempat Duduk Ini?
Alasan Liar Nasib Preman Muda di Uji Coba YSL Rico Akan Lebih Lama Dari Perkiraan
Keponakan Luther Vandross Ingin Mengatakan Sesuatu Tentang Wawancaranya yang Memilukan Pasca Stroke Dengan Oprah Winfrey
Petualangan Bayou Tiana Mematahkan 87 Tahun Kanon Putri Disney yang Aneh
Bantulah Diri Anda Sendiri Dan Saksikan Acara Speedrunning Terbaik Tahun Ini
Dua Anak Palestina "Trauma" Setelah Seorang Wanita Diduga Mencoba Menenggelamkan Mereka
Seorang Pria Louisiana Mengirimkan Peringatan Mengerikan Menjelang Terjadinya Kejahatan
Mahkamah Agung Mengatur Trump Memiliki Kekebalan Terhadap Kejahatan Apa Pun Yang Dilakukan Antara 9 Dan 5
Saksikan Motorweek Menguji Sterling, Pandangan Inggris yang Terlupakan Tentang Legenda Acura
Beberapa Penggemar Mortal Kombat Khawatir Game Terbaru Sudah Mati, Tapi Mungkin Lebih Rumit
McLaren Tidak Bisa Berhenti Memecat Pembalap IndyCar, Ia Sebenarnya Menyukainya
Cate Blanchett Menjelaskan Mengapa Dia Ada di Film Borderlands
Istri Zelensky Sebenarnya Tidak Membeli Bugatti Tourbillon Meskipun Ada Klaim Propaganda Rusia
Boeing Ingin Semua Orang Berhenti Mengatakan Tes ISS Starliner Adalah Kegagalan
Tidak Baik: Badai Beryl Adalah Badai Kategori 5 Paling Awal yang Tercatat dalam Sejarah
Histeria Penguncian yang Dipicu Gergaji Cate Blanchett Membawanya ke Borderlands
Ingatkah Saat Sebuah Maskapai Penerbangan Belanda Memasukkan 440 Tupai ke dalam Mesin Penghancur Raksasa?
Saya Mohon Pemain Final Fantasy 14 Untuk Membaca Dialog Di Dawntrail
Pengemudi Berhasil Membalikkan Tesla Cybertruck, Tidak Perlu Mengemudi Sendiri
Sekarang Anda Dapat Memiliki Bikini Paling Ikonik di Fiksi Ilmiah
Saya Menghabiskan Akhir Pekan Dengan Remote Play dan Cloud Gaming Dan Itu Sungguh Luar Biasa
Biden Menanggapi Keputusan Imunitas Trump di Mahkamah Agung, Menunjukkan Bahaya Kekuasaan yang Tidak Terkendali
AI untuk menggali suara selebriti yang sudah mati untuk membacakan PDF atau apa pun
Direktur Twister Tidak Mendapat Peringatan Tornado Tentang Twister
Eddie Murphy meliput semuanya di tur pers Beverly Hills Cop: Axel F
Land Rover Defender Octa Adalah Monster Berkekuatan 626 HP Yang Hadir Untuk Raptor Dunia
Polisi Beverly Hills: Ulasan Axel F: Eddie Murphy santai saja dalam kemunduran Netflix yang tidak rumit
MaXXXine Adalah Kisah Hollywood Pulpy yang Terasa Terlalu Jinak
Paus Fransiskus Menyetujui Orang Suci Milenial Pertama
Rapper YouTube Populer dan Penyihir TikTok Terkenal Ikuti Pertandingan Viral Barking
Van Pengiriman Amazon Menyala dalam Ledakan Berapi-api Selama Musim Panas di Houston
Bisakah Simone Biles Mempersiapkan SZA Untuk Olimpiade?
Apakah Anda Menginginkan Corvette Tapi Ingin Terlihat Mengerikan? Wah, Sudahkah Kami Punya Mobil Untukmu
BMW Tak Ingin Mobil Terbakar di Car Carrier Dijual
Jajak Pendapat: Partai Demokrat Mengikuti Trump Apakah Mereka Menggantikan Biden Dengan Biden, Biden, Atau Biden
Turbulensi Menakutkan Mengirim Manusia Terbang ke Tempat Sampah dalam Video Viral
Hentikan Kucing Anda Menggaruk Furnitur Dengan Strategi yang Didukung Sains Ini
Kabar Buruk Bagi Fani Willis dan Kasus Intervensi Pemilu Trumpnya
Ridley Scott "tidak senang" ketika sekuel Alien dan Blade Runner dibagikan
Dwayne Johnson Mengatakan Ibunya 'Baik' Setelah Kecelakaan Mobil Larut Malam, Akan 'Terus Dievaluasi'
Chelsea Houska dari 'Teen Mom' Membagikan Reaksi Menangis terhadap Pembaruan Acara HGTV Musim 2: 'Sangat Berarti'
Marvel Sebenarnya Menerbitkan Memoir Fiksi Scott Lang dari 'Ant-Man and the Wasp: Quantumania'
Pembeli Amazon Mengatakan Mereka Tidur 'Seperti Bayi yang Dimanjakan' Berkat Sarung Bantal Sutra Ini Sekecil $10
Eric dan Jessie James Decker Selalu 'Berciuman Sepuasnya' — dan Anak-Anak Tidak Menyukainya
Seluncur Indah AS 'Frustrasi' karena Kurangnya Keputusan Akhir dalam Acara Tim, Menyerukan Keputusan yang Adil
Profesor Universitas Purdue Ditangkap karena Diduga Mengedarkan Meth dan Membujuk Wanita untuk Nikmat Seksual
Gadis Hilang, 17, Kemungkinan Mati Membeku Setelah Mengemudi ke Selokan di Pedesaan Wisconsin: Pejabat
Charly Reynolds Mengungkap Operasi Pita Suara Terbaru: 'Saya Mengalami Kesulitan Bernyanyi'
Wanita Ditemukan Hidup dan 'Terengah-engah' di Kantong Jenazah di Rumah Duka Iowa
Wanita yang Meninggal 37 Tahun Lalu Setelah Ditemukan Tidak Sadar di Jalan Raya Ga. Diidentifikasi sebagai Ibu Hilang dari 4 Anak
Paul McCartney tentang Menjadi 'Romantis' dengan Istri Nancy Shevell: 'Saya Benar-Benar Melebihi Hari Valentine'
Siapa Tunangan JWoww? Semua Tentang Zack Clayton Carpinello
Siapakah Istri Vince Vaughn? Semua Tentang Kyla Weber
Garis Waktu Hubungan Suzanne Somers dan Alan Hamel
Bengals Menjalankan Kembali Joe Mixon Dicari dengan Surat Perintah Penangkapan yang Dikeluarkan karena Diduga Menunjuk Senjata Api ke Wanita
Keluarga Yara Shahidi: Semua Tentang Orang Tua dan Saudara Aktris
MSNBC's Yasmin Vossoughian Mengatakan Dokter Mengabaikan Nyeri Dadanya sebagai Refluks Kemudian 'Mimpi Buruknya' Dimulai
Whoopi Goldberg Menunjukkan Kit Harington 'Game of Thrones'-nya -Terinspirasi Toilet: 'An Actual Iron Throne'
Siapakah Istri John Cleese? Semua Tentang Jennifer Wade
Riwayat Kencan Ava Gardner: Melihat Kembali Pernikahan dan Kisah Asmara Sang Ikon Hollywood
Susan Lucci Menangis Mengingat Mendiang Suami Saat Dia Mengaku Dia 'Belum Siap' Untuk Mulai Berkencan
Pembeli Setuju Penyapu Lantai Black + Decker Ini 'Jauh Lebih Cepat' Daripada Sapu Tradisional, dan Ini Dijual
Muni Long Mengatakan Dia Belum 'Diproses' Menghasilkan 3 Grammy Noms: 'Semuanya Berjalan Begitu Cepat'
TJ Watt Ingin Melihat Tom Brady dan Brother JJ Dilantik ke NFL Hall of Fame Bersama
Biaya Pencurian Chloe Cherry 'Euphoria' karena Diduga Mencuri Blus $28
Lizzo Memberikan Merek Dagang untuk '100% Bitch ITU' dalam Pembalikan Setelah Aplikasi Ditolak
Jimmy Buffett, Penyanyi 'Margaritaville', Meninggal di Usia 76 Tahun
Siapa Suami Lisa Vanderpump? Semua Tentang Ken Todd
Danielle Moné Truitt dari 'Law & Order' Menganggap Penggemar 'Ditipu; Oleh Stabler dan Benson Kiss Tease
Kirstie Alley's Estate Mencantumkan Rumah Florida senilai $ 6 Juta dari Late Star yang Dia Beli dari Lisa Marie Presley
Penyelamatan Hewan Memperingatkan 'Jangan Pernah Mewarnai Burung' Setelah Merpati Merah Muda 'Berjuang' Ditemukan Mengembara NYC
Penyanyi 'Flashdance' Irene Cara Meninggal karena Hipertensi, Kolesterol Tinggi: Laporan
Siapakah Istri Dog Sang Pemburu Bayaran? Semua Tentang Francie Frane
Semua Tentang Hubungan Zoë Kravitz dengan Orang Tua Lenny Kravitz dan Lisa Bonet
Siapa Istri George Lucas? Semua Tentang Mellody Hobson
Gwyneth Paltrow Ungkap Gaun Malam Kencan yang Disimpannya dari Hubungannya dengan Brad Pitt 
Monaleo Ungkap Dirinya Hamil, Menantikan Bayi Pertama dengan Boyfriend Stunna 4 Vegas
Olympian Jasmine Camacho-Quinn Merayakan Bahwa Kakaknya Robert Quinn Menuju Super Bowl
Tom Girardi Menghadiri Sidang untuk Menentukan Kompetensinya untuk Diadili atas Tuduhan Penipuan
Pemeran Laguna Beach: Di Mana Mereka Sekarang?
Bob Barker, Pembawa Acara 'The Price Is Right' Lama, Meninggal di Usia 99: 'MC Terhebat di Dunia'
Jenazah Diyakini Milik Rapper Hilang Sejak Dibatalkan Gig Ditemukan: 'Mereka Tidak Pantas Ini'
Margaret Josephs Membela Pilihan 'Menghancurkan' Melissa dan Joe Gorga untuk Melewatkan Pernikahan Teresa Giudice
Matthew McConaughey Mengungkap Seorang Peramal Menyuruhnya untuk Membintangi 'How to Lose a Guy in 10 Days'
Ada 2.500+ Gaya Cuaca Dingin yang Bersembunyi di Bagian Penjualan Rahasia ini di Rak Nordstrom — Mulai dari $6
Putri Kevin Jonas, Alena, Terlihat Dewasa di Foto Ulang Tahun: 'Usia 9 Tahun Tidak Terasa Nyata'
Heather Rae dan Tarek El Moussa Sambut Bayi Laki-Laki Mereka: 'Hati Kami Sangat Bahagia'
Umurku 16 tahun akan menginjak 17 tahun bulan depan. Bagaimana cara mendapatkan terapis jika ibu saya berpikir saya tidak membutuhkannya?
Saya 19. Apakah saya masih mengalami pubertas?
Bagaimana saya bisa mengubah hidup saya di usia 17?
Perubahan apa yang akan terjadi jika Anda melakukan HRT pada usia 13 tahun?
Bagaimana cara menghentikan pubertas tanpa penghambat pubertas?
Bagaimana saya menjalani hidup sepenuhnya sebagai anak berusia 19 tahun?
Bisakah Anda memulai hormon MTF HRT pada usia 13?
Transgender: Apa bagian tersulit dari transisi pria ke wanita Anda?
Apakah pubertas terjadi secara bertahap? Bisakah itu berhenti dan kemudian mulai lagi?
Saya seorang depresi berusia 13 tahun dan saya ingin menemui dokter tentang hal itu, tetapi saya takut melakukannya dan orang tua saya akan mengabaikannya hanya karena hormon saya dan semacamnya. Apa yang harus saya lakukan?
Saya berusia 17 tahun dalam sebulan dan saya berpikir bahwa saya tidak benar-benar merasa berbeda dari 11 tahun, apakah ini normal? Akankah saya benar-benar berubah seiring bertambahnya usia?
Tidak apa-apa jika saya berusia 13 tahun tetapi masih berjiwa anak-anak?
Apakah Spironolakton buruk untuk HRT?
Saya 19 hari ini. Apa hal terpenting yang harus saya pelajari?
Obat apa yang bisa mengubah pria menjadi wanita tanpa operasi?
Menurut Anda, transisi gender mana yang lebih sulit, female to male (FtM) atau male to female (MtF)?
Saya transisi dari perempuan ke laki-laki. Apa seharusnya nama baru saya?
Saya berusia 17 tahun dan berencana untuk masuk HRT ketika saya lulus tahun ini sebagai usia 18 tahun. Sampai saat itu apa yang bisa saya lakukan untuk membuat diri saya merasa lebih perempuan?
Apa yang harus terjadi jika Anda tidak pernah melewati masa puber?
Saya berusia 14 tahun yang bosan dengan hobinya dengan mudah. Bagaimana saya menemukan minat dan bakat saya?
Selama transisi gender dari pria ke wanita, bagaimana rasanya membesarkan payudara?
Bagaimana cara mendapatkan HRT tanpa mengatakan saya ingin HRT?
Apa hal terpenting yang harus diingat oleh remaja berusia 14 tahun?
Apa pro dan kontra dari Pubertas?
Saya berusia 17 tahun, apa yang harus saya lakukan untuk mendapatkan lebih banyak pengetahuan?
Apa cara terbaik untuk transisi alami dari pria ke wanita?
Apa dampak negatif dari masa pubertas (kesehatan mental, dll.)?
Apa keterampilan hidup yang diperlukan yang dapat saya kuasai di musim panas 3 bulan ini? Saya 17 tahun.
Saya 19 dan anak tunggal. Saya menjadi depresi dan khawatir tentang sesuatu yang terjadi pada orang tua saya karena hanya mereka yang saya miliki. Saya tidak punya teman dan saya belum bisa berteman dengan pandemi. Saya takut sendirian, apa yang bisa saya lakukan untuk membantu diri saya sendiri?
Apa yang dapat dilakukan seorang anak berusia 14 tahun untuk membuat hidup mereka lebih baik/mudah?
Apakah sebaiknya memulai HRT pada usia 18 tahun (transgender)?
Saya berumur 23 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Saya baru berusia 17 tahun, apa yang harus saya lakukan sekarang untuk menjamin kehidupan terbaik untuk diri saya sendiri?
Apa hal paling berguna yang dapat saya lakukan ketika saya berusia 14 tahun?
Saya berusia 14 tahun, nasihat apa yang ingin Anda berikan kepada saya yang akan berguna untuk sisa hidup saya?
Sebagai anak berusia 13 tahun, bagaimana saya bisa menabung dan menyimpan uang tanpa sepengetahuan orang tua saya?
Saya akan berusia 16 tahun besok. Nasihat khusus apa yang dapat Anda berikan kepada anak laki-laki berusia 16 tahun?
Jika saya ingin mengetahui untuk memulai pengobatan perubahan jenis kelamin, dokter seperti apa yang harus saya kunjungi?
Apakah operasi pantat layak untuk transisi pria ke wanita?
Apakah semua orang mengalami masa pubertas?
Bagaimana cara membuat janji dengan dokter tanpa orang tua saya dan tanpa mereka tahu alasan saya pergi? Saya berumur 15 tahun.
Apakah 18 tahun adalah usia yang baik untuk memulai transisi ke MTF?
Bagaimana cara memulai transisi saya dari pria ke wanita? Saya selalu menjadi seorang gadis di dalam. Apa yang harus saya lakukan?
Apakah saya masih waria (FTM) jika saya baru mulai menunjukkan tanda-tanda ketika saya mencapai pubertas?
Berapa usia terbaik untuk memulai transisi dari wanita ke pria?
Saya 13, transgender (ftm) dan telah menemui terapis selama beberapa bulan sekarang. Bagaimana saya bisa mengatakan kepadanya bahwa saya transgender, dan meminta dia memberikan saran untuk keluar?
Saya seorang mahasiswa berusia 21 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Apakah HRT direkomendasikan untuk remaja transgender?
Bisakah kita menghasilkan listrik dari badai pasir Mars? Jika demikian, bisakah itu digunakan untuk menggerakkan koloni?
Menyelami lebih dalam insiden keamanan Mei 2019: umpan balik entri blog
Regex_search c++
java: hitung semua kunci dan nilai yang berbeda di Map <String, Set <String>> [duplikat]
Apakah menghina membunuh karakter gay saya di akhir buku saya?
Bisakah Mahkamah Agung menyatakan pemakzulan inkonstitusional? [duplikat]
Studi kasus: apa yang diperlukan untuk merumuskan dan membuktikan argumen objek kecil Quillen di ZFC?
Minta izin [awalan] [infiks] [akhiran]. Apa [keseluruhan]?
Apakah ada posisi pasangan paksa ganda?
Kelompok pemimpin pertama Musa Keluaran 18:21
Jika pengawetan merusak Vitamin C, bagaimana Sauerkraut kaya akan Vitamin C?
Bagaimana cara melihat apakah sebuah array memiliki 2 atau lebih elemen yang sama? [duplikat]
Bagaimana cara menghapus cincin Saturnus?
Apakah saya harus membuat aplikasi saya menjadi open source jika saya menggunakan data api yang tidak dimodifikasi yang dilisensikan di bawah CC-BY-SA 4.0
"Mereka tidak menimbulkan rasa bersalah dan mati"
Kelompokkan daftar berdasarkan elemen daftar bertingkat [duplikat]
Mengapa penerbangan tidak terbang menuju jalur pendekatan pendaratan lebih cepat?
Bulan memiliki kecepatan yang tepat untuk tidak menabrak bumi atau melarikan diri ke luar angkasa. Apa kemungkinannya?
Keikutsertaan uji alfa untuk editor Stacks baru
MOC: Pertanyaan tentang penggunaan merek dagang LEGO
Kubernetes - Apakah mungkin untuk menggabungkan Pod.yaml dan Service.yaml dalam satu file yaml (tetapi tanpa Deployment)
Mengapa acar buah dan sayuran tidak menjadi bagian dari ransum (Eropa) selama Zaman Pelayaran?
Dapatkah pohon Stern-Brocot digunakan untuk konvergensi yang lebih baik $2^m/3^n$?
nginx proxy ke Tomcat dengan SSL
winforms C # .NET - Cara Meningkatkan Kinerja kode saya saat menggunakan loop (for, foreach, dll…) [ditutup]
Mengambil nilai href dari bidang Tautan item Tautan di scriban [duplikat]
Puzzle geser 3 x 2
Cara mendapatkan teks tertentu yang termasuk dalam kelas div
Seberapa besar kode QR harus ada di atap saya agar satelit dapat memindainya dengan resolusi yang diizinkan hari ini?
Pilih Joomla dari pengelompokan DB DAN / ATAU
Apa itu bom Ellerman dan bagaimana kita bisa mengidentifikasinya?
Mungkinkah Uranus memiliki permukaan yang kokoh karena komposisi internalnya dan kurangnya panas internal?
Mengenai penasihat PhD yang menolak mahasiswa karena masalah kesehatan
Bagaimana cara membuat daftar pekerjaan k8s saya dengan LabelSelector yang kompleks menurut client-go?
Dapatkah seseorang mengkarakterisasi antikain maksimal dalam kaitannya dengan kisi distributif?
The History of Werewolf Fashion, Bagian 1: 2000-an
"Empat puluh hari empat puluh malam"
Apa hukumnya berperang di kota?
“ $\Sigma_1^1$-Peano aritmatika ”- menjabarkannya $\mathbb{N}$?
Prinsip refleksi vs alam semesta
Bagaimana cara memasang kristal ke dukun tanpa menggunakan perekat?
Hapus bagian dalam batas dalam type = color
Buktikan barisan $\{a_n\}_n$didefinisikan oleh $a_1=-\frac14$dan $-a_{n+1}=\frac{a_na_{n+1}+4}4$konvergen dan tentukan limitnya.
Penggunaan kata Ibrani yang tidak umum untuk "bersinar" dalam Keluaran
Apa cara yang tepat untuk menutup Soket C # di .NET Core 3.1?
Cara terbersih untuk menggunakan BeginTransaction menggunakan coba tangkap
Bagaimana cara memantau batas kecepatan di jalan raya pada abad pertengahan? [duplikat]
Berapa matriks logaritma operator turunan ( $\ln D$)? Apa peran operator ini di berbagai bidang matematika?
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
Chatbot untuk Kontrol Aset
Chatbot untuk Kontrol Aset
Diam
Diam
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Apa yang kami bangun di tahun 2020
Apa yang kami bangun di tahun 2020
Membuat penekanan kesalahan Arus lebih spesifik
Membuat penekanan kesalahan Arus lebih spesifik
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Samantha Lazar
Samantha Lazar
Pusaran Tahun
Pusaran Tahun
Undangan
Undangan
Dua Repositori Python untuk Visualisasi Teks
Dua Repositori Python untuk Visualisasi Teks
Memanfaatkannya: Desain UX Aplikasi Hibrid
Memanfaatkannya: Desain UX Aplikasi Hibrid
Pemberitahuan &amp; Alarm di Flutter
Pemberitahuan & Alarm di Flutter
6 Hal yang Saya Pelajari Dari Brendon Burchard
6 Hal yang Saya Pelajari Dari Brendon Burchard
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
Halloween di Spectrum
Halloween di Spectrum
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Munculnya Keuangan Terdesentralisasi
Munculnya Keuangan Terdesentralisasi
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved