IDOR untuk Pengambilalihan Akun

May 06 2023
Ringkasan Halo semuanya! Setelah menyelesaikan sertifikasi OSCP saya dan ingin terjun kembali ke karunia bug lagi, saya memutuskan saya mungkin harus menulis beberapa blog berdasarkan temuan saya sebelumnya dengan harapan seseorang dapat menemukannya berguna atau belajar darinya. Penulisan ini memerlukan penemuan dua kerentanan IDOR dan memanfaatkannya untuk membocorkan PII yang mengakibatkan pengambilalihan akun.

Ringkasan

Halo orang! Setelah menyelesaikan sertifikasi OSCP saya dan ingin terjun kembali ke karunia bug lagi, saya memutuskan saya mungkin harus menulis beberapa blog berdasarkan temuan saya sebelumnya dengan harapan seseorang dapat menemukannya berguna atau belajar darinya.

Penulisan ini memerlukan penemuan dua kerentanan IDOR dan memanfaatkannya untuk membocorkan PII yang mengakibatkan pengambilalihan akun . Pengambilalihan akun dimungkinkan karena cara perusahaan menangani proses pemulihan akun dan sebenarnya merupakan salah satu temuan pertama saya ketika saya pertama kali memulai bug bounty. Sensasi menemukan ini membuat saya terus belajar lembur.

Apa IDOR yang saya bicarakan ini?

Insecure Direct Object Referencepaling sering disingkat "IDOR" adalah jenis kerentanan yang dapat dikategorikan dalam access control. IDORsterjadi dalam aplikasi saat aplikasi menggunakan input yang disediakan pengguna untuk mengakses objek secara langsung tanpa melakukan pemeriksaan apa pun untuk melihat apakah pengguna memiliki izin otorisasi yang benar. Paling sering dikaitkan dengan eskalasi hak istimewa horisontal IDORsdapat menimbulkan efek merusak pada aplikasi dan basis penggunanya.

Contoh utama dari parameter tipikal yang biasanya rentan terhadap IDOR meliputi: id= | userID= | messageId=. Memahami alur aplikasi dapat memudahkan untuk mengidentifikasi jenis masalah ini.

Gambar di atas mengilustrasikan dua skenario. Scenario Adi sebelah kiri menyampaikan aplikasi yang lebih aman di mana users 2 and 3mencoba mengakses catatan sensitif yang bukan miliknya, namun itu menghasilkan sebagaimana access denied errormestinya.

Scenario Bdi sebelah kanan, bagaimanapun, menggambarkan aplikasi yang rentan di mana aktor ancaman dapat mengeluarkan permintaan ke server web dan mengambil catatan sensitif untuk setiap pengguna tertentu tanpa ditolak aksesnya.

Jika Anda ingin membaca lebih lanjut tentang IDORs Vickie Li memiliki posting blog yang luar biasa yang menyoroti dasar-dasar jenis kerentanan ini. Anda dapat memeriksanya di sini .

Contoh di atas adalah contoh yang sederhana, namun bergantung pada aplikasinya, Anda mungkin dapat memanfaatkan informasi sebelum melaporkannya untuk meningkatkan dampaknya, yang selalu ingin saya lakukan.

Sekarang kita memiliki gagasan tentang apa IDORsitu, di mana mereka dapat ditemukan serta dampaknya, mari selami salah satu temuan awal saya! :)

Pengintaian

Meskipun masalah telah diperbaiki, saya tidak dapat memperoleh izin untuk pengungkapan publik secara penuh sehingga target akan dirujuk sebagai: example.com. Seperti halnya target apa pun, bergantung pada scope, pencacahan subdomain adalah kunci untuk memperluas permukaan serangan. Namun, pencacahan subdomain bukan satu-satunya cara untuk memperluas permukaan serangan karena kami juga dapat menganalisis JavaScriptfile untuk informasi sensitif. Dalam kasus ini saya memutuskan untuk memulai dengan menggunakan quick Google Dorkuntuk melihat apakah saya dapat menemukan subdomain yang menarik sebelum menggunakan alat otomatis untuk hasil yang lebih banyak.

Google Dork:site:*.example.com

Example.commemiliki sekitar 36 subdomain sehingga jumlah subdomain yang cukup bagus untuk digunakan!
Melihat melalui mereka satu per satu saya mencatat dua subdomain yang memiliki banyak fungsi. Saya menghabiskan waktu sekitar satu atau dua hari untuk menelusuri subdomain ini dan menguji berbagai fitur sambil mengingat beberapa fitur yang lebih menarik yang khusus untuk aplikasi tersebut. Misalnya, aplikasi memiliki fitur di mana Anda dapat membuat tiket untuk menerima dukungan dari staf dalam berbagai kategori seperti “Masalah Pembayaran”.

Bug Awal

Saya memutuskan untuk memulai dengan menganalisis cara kerja proses pendaftaran dan masuk - fitur inti yang diterapkan di hampir semua situs web saat ini. Alur pendaftaran aplikasi web dapat diringkas sebagai:

  • Pengguna mendaftar melalui email
  • Pengguna diminta untuk mengatur a PIN No.dan a security questionsebelum proses pembuatan akun dapat diselesaikan. Ini hanya dapat diatur sekali dan tidak dapat diubah
  • Pengguna diminta untuk mengonfirmasi email sebelum mereka dapat masuk

Menggunakan account A, saya bersemangat Burpsuitedan mulai menguji fitur ticketing dan membuat dua akun pengujian diikuti dengan pembuatan beberapa tiket di bawah kategori dukungan yang berbeda untuk tujuan pengujian. Melihat ke HTTP Historydalam Burpsuiteada beberapa panggilan menarik yang dilakukan.

Berikut ini POST requestdimulai saat membalas anggota staf di tiket terkait dengan klaim hadiah:

POST /account/prizes/view/{123456} HTTP/1.1
Host: subdomainX.example.com

grant=w&prizeClaim_id={123456}&action=add_comment&comment_body=Hello+admin+...

Jadi untuk menyimpulkan temuan sejauh ini:

  • Setelah mendaftar setiap pengguna harus membuat PIN No.dansecurity question
  • Situs web ini memungkinkan pengguna membuat tiket dukungan untuk bantuan
  • Untuk menerima dukungan, pengguna perlu merespons dengan mereka PIN No.dan security question answeruntuk hal-hal sensitif seperti pemulihan akun, klaim hadiah, dan masalah pembayaran
  • IDORkerentanan yang ditemukan dalam sistem tiket memungkinkan lawan untuk berkomentar dalam tiket dukungan apa pun tanpa menjadi pemilik tiket atau anggota staf

Jadi jika saya dapat memposting komentar pada tiket apa pun tanpa menjadi pemilik atau memiliki hak istimewa anggota staf… tentunya ini berarti saya juga dapat membaca tiket apa pun, bukan?

Saya menangkap permintaan GET berikut dalam upaya untuk melihat tiket milik account Avia account B, namun, itu menyebabkan 403kesalahan ilegal! Jadi, saya dapat menulis ke tiket dukungan apa pun yang diberikan tetapi tidak dapat membaca isinya. Pada titik ini saya benar-benar ingin menemukan cara yang memungkinkan untuk melanjutkan ini lebih jauh.

DAPATKAN Endpoint untuk membaca tiket di Aplikasi Web

GET /management/ticket?id=343433 HTTP/1.1
Host: subdomainX.example.com
Upgrade-Insecure-Requests: 1
Connection: close

Saat mencoba mengeksploitasi fitur tiket, saya menemukan permintaan berikut;

GET /go.php?du=example.com/ HTTP/1.1
Host: subdomainX.example.com
Connection: close
Upgrade-Insecure-Requests: 1
Cookie:

Membocorkan Konten Tiket melalui API di Aplikasi iOS

Selama pengintaian awal, saya telah melihat beberapa APIpermintaan dikirim saat mengambil informasi profil, lebih jauh lagi, target juga memiliki mobile appcakupan. Sangat mungkin bahwa meskipun membaca tiket pengguna lain di aplikasi web itu sendiri tidak dimungkinkan, hal itu dapat dicapai melalui aplikasi seluler karena dapat menggunakan yang berbeda API version/endpointdari aplikasi web.

Mengaktifkan Burpsuitedan menavigasi ke sesi tiket dalam Aplikasi iOS, saya tiba di titik akhir berikut:

GET /api/v3/tickets/123456/posts HTTP/1.1
Host: x-api.example.com

Jadi sekarang saya telah menemukan dua bug - dimungkinkan untuk menulis ke tiket apa pun DAN melihat konten tiket apa pun milik pengguna lain.

Eskalasi Tiket Baca IDOR > Pengambilalihan Akun

Pada titik ini saya memiliki cukup banyak elemen yang diperlukan untuk mencapai pengambilalihan akun. Karena tiket apa pun dapat dibaca, pengambilalihan akun pengguna dapat dilakukan melalui langkah-langkah berikut:

  • Kunjungi /api/v1/support-tickets/234567/poststitik akhir dan kirimkan ke intruderuntuk Burpsuitemenghitung tiket sebanyak mungkin
  • Grepuntuk kata kunci seperti Pin Numberatau Security Questiondari tanggapan
  • Buat akun baru di situs web dan buka tiket di bawahaccount recovery
  • Anggota staf yang dialokasikan akan menanyakan nama pengguna akun yang ingin Anda pulihkan bersama dengan dan security question answer, PIN No.yang semuanya dapat dibocorkan melalui IDOR kedua yang ditemukan; dengan demikian, mengakibatkan pengambilalihan akun.

Meskipun pengambilalihan akun sudah tercapai, IDOR penulisan tiket juga dapat dimanfaatkan. Nama pengguna staf diawali dengan nama perusahaan misalnya example-John. Seorang musuh bisa;

  • Buat akun baru dengan konvensi penamaan di atas untuk menyamar sebagai karyawan
  • Hitung semua ID tiket terbuka/tertutup menggunakan IDOR Baca Tiket
  • Beri komentar di dalam tiket yang termasuk dalam kategori sensitif seperti Payment Issues/ Prize Claimsdan minta pengguna untuk membocorkan informasi PII lebih lanjut
  • Baca respon yang diberikan oleh pengguna melalui Ticket Read IDOR

Takeaway

  • Jika ruang lingkup memungkinkan, uji fitur yang sama pada aplikasi web dan aplikasi seluler
  • Selalu berusaha untuk meningkatkan dampak dan mencoba mengaitkan temuan yang rendah > menjadi sesuatu yang berdampak
  • Jalan yang jarang dilalui mengarah ke temuan yang bermanfaat… temukan itu :)
Struktur Data di JavaScript
Struktur Data di JavaScript
Apa itu Linked List? [Bagian 1]
Apa itu Linked List? [Bagian 1]
Jadi, Ceritakan Tentang Daftar Tertaut
Jadi, Ceritakan Tentang Daftar Tertaut
Ketika Semua Gagal, Jadilah Kreatif
Ketika Semua Gagal, Jadilah Kreatif
Kapal Luar Angkasa Saya di Ujung Dunia
Kapal Luar Angkasa Saya di Ujung Dunia
Lasagna labu dan kale
Lasagna labu dan kale
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Well with Kell: Friend, Clean Your Gut!
Well with Kell: Friend, Clean Your Gut!
Tetanggaku
Tetanggaku
Berkilau
Berkilau
Kreativitas sebagai Kompas
Kreativitas sebagai Kompas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Solitude pada Kreativitas
Pengaruh Solitude pada Kreativitas
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Duka yang Tak Terlihat
Duka yang Tak Terlihat
Saya Akhirnya Berhenti Merokok
Saya Akhirnya Berhenti Merokok
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Ulasan Singkat Dua Adegan di 'Borat 2'
Ulasan Singkat Dua Adegan di 'Borat 2'
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Pelajaran Hidup Courtesy of My Transgender Son
Pelajaran Hidup Courtesy of My Transgender Son
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
'Boy Meets World': Mengapa Mr. Turner Menghilang Dari Seri?
Bagaimana Melissa Gilbert Menyelamatkan Seekor Burung dengan Menjebaknya di Bawah Baju Tidurnya
Mick Jagger Mengatakan 'Permintaan Yang Mulia Setan' The Rolling Stones Terinspirasi oleh Acid, Bukan The Beatles
George Harrison Kesal Liriknya untuk 'Hurdy Gurdy Man' Donovan Tidak Digunakan
Jana Duggar: Semua yang Dia Katakan Tentang Cinta dan Jendela 5 Tahunnya untuk Menemukan 'Yang Satu'
Winona Ryder Pernah Membagikan Semua Karakternya Ditulis Sebagai 'Gadis Jelek' Di Awal Karirnya
'Kasus Penasaran Natalia Grace': Di Mana Natalia, Kristine, dan Michael Barnett Hari Ini?
'My Way' Frank Sinatra Tidak Sebesar 'Old MacDonald'-nya
John Lennon Mengatakan Lagu B-52 Ini Terdengar 'Persis Seperti Musik Yoko'
Bagaimana Paul McCartney Bereaksi terhadap Judul The Beatles 'Lucy in the Sky with Diamonds'
Paul McCartney: Penderitaan Membuat 1 Lagu Dari The Beatles 'White Album' Bagus
Stevie Nicks 'Latched' ke 1 Lagu Joni Mitchell Ketika Dia Merasa Karier Musiknya Gagal
Lagu The Beatles Peter Asher Disebut 'Lagu Terhebat yang Pernah Saya Dengar'
Bagaimana John Ritter Meninggal: Melihat Kembali Kematian Aktor 'Three's Company'
Taylor Sheridan Baru Menambahkan 1 Bintang 'Yellowstone' Favoritnya ke Pemeran 'Lawmen: Bass Reeves'
Nasihat Jimmy Page untuk Musisi Muda Langsung Dari Buku Pegangan Pembicara Motivasi
Billy Crystal dan Robin Williams Ad-Libbed Seluruh Cameo 'Teman' Mereka
David Bowie Hampir Menulis Musikal yang Terdiri dari Lagu Bob Dylan Palsu
'Jangan Tidur di Kereta Bawah Tanah' Bingung Petula Clark
Christopher Nolan Pernah Menyesal Membaca 'Naskah Pulp Fiction' Quentin Tarantino
Paul McCartney Membayangkan Bagaimana Reaksi Ibunya terhadap Kesuksesannya
Donovan Membandingkan 1 Lagunya dengan 'Lucy in the Sky with Diamonds' The Beatles
Waktu Terbaik Mengunjungi Lokasi Syuting 'Little House on the Prairie'
Dolly Parton Membantu Neneknya yang 'Cacat' Ketika Tidak Ada Cucu Lain yang Mau—Dia Juga Mengerjainya
John Lennon Membagikan Mengapa 'The Tonight Show' Adalah Pertunjukan 'Paling Memalukan' yang Pernah Dia Ikuti
Lagu Paul Simon yang Memparodikan Bob Dylan dengan Sempurna 
'Simpati untuk Iblis' The Rolling Stones Awalnya Terdengar Seperti Musik Brasil
Petula Clark Said 'Downtown' Mengungkap Lagu Putus asa
Paul McCartney Sangat Tertekan Tentang Satu-satunya Acara The Beatles yang Dibatalkan Sehingga Dia Muntah
Karier Akting Bradley Cooper Dipertaruhkan Ketika Dia Bekerja Dengan Julia Roberts dalam Proyek Ini
Manajer Led Zeppelin Peter Grant Melihat Band Palsu Memenangkan Grammy Sebelum Zep melakukannya
Nicole Kidman Menyukai 1 Fitur Menarik Ini Yang Dibagikan Michael Keaton dan Val Kilmer sebagai Batman
Dolly Parton Menemukan Tuhan di Sebuah Gereja Terbengkalai Remaja Lokal Digunakan untuk Seks
Paul McCartney Mengatakan Dia 'Beruntung' Dia Tidak Pernah Menggunakan Heroin 
MIA Pernah Menyerang 'Give Peace a Chance' John Lennon
Gene Simmons Mengatakan Buku Komik KISS Berpotensi “Menciptakan Kembali Kemanusiaan
Judy Norton dari 'The Waltons' Menyadari Dia Kadang-kadang 'A Brat' Saat Syuting Pertunjukan
Sam Heughan Tahu Persis Apa yang Akan Dia Ambil Dari Set 'Outlander' - 'Saya Merasa Seperti Saya Jamie Ketika Saya Memakainya'
John Lennon Mengatakan 1 Baris dalam 'Revolusi' The Beatles Mengomentari Polisi
Paul McCartney Mengatakan 'When I'm Sixty-Four' The Beatles Adalah Sebuah Lelucon
Ringo Starr Menolak Bermain Dengan Track Klik, dan Itu Membuatnya Menjadi Drummer yang Lebih Baik
Paul McCartney Membagikan Apa yang Paling Membuatnya Terkesan Tentang John Lennon Ketika Mereka Pertama Kali Bertemu
Mengapa Paul McCartney 'Dijaga' Tentang Menceritakan Kebenaran Tentang The Beatles
Paul McCartney Mengatakan 'Sersan. Lagu Pepper Bukan Tentang Heroin
Rolling Stones: Keith Richards Kesal Oleh 1 Kelompok Penggemar Musik Yang Mengkritik Band
Manakah Grapefruit yang Paling Manis – Putih, Merah atau Merah Muda?
Maukah Anda Makan Casu Marzu, Keju Ilegal Dengan Belatung?
Where in the World Are You? Take our GeoGuesser Quiz
Mengapa Perusahaan Besar Seperti Tesla dan Amazon Memisahkan Saham
Apakah Anda Perlu Memiliki Sikap Positif untuk Mengalahkan Kanker?
Pengungsi Ukraina Mungkin Tidak Pernah Kembali ke Rumah, Bahkan Setelah Perang Berakhir
Gunung Tertinggi di Tata Surya Jauh Lebih Tinggi Dari Everest
Apa itu Pil Racun dan Akankah Twitter Menjaga Elon Musk di Teluk?
Cara Mengatur Ulang Pabrik iPhone Anda
Waktu Mungkin Tidak Ada, Kata Beberapa Fisikawan dan Filsuf
Belalang Anggrek Terlihat Seperti Bunga, 'Menyengat' Seperti Lebah
Bisakah Kita Menyelamatkan Badak Sumatera dari Kepunahan?
Apa itu Corengan, dan Bisakah Itu Memurnikan Ruang Energi Negatif?
Bisakah Boson W yang Baru Diukur Mematahkan Model Standar?
Sekelompok Kecil Orang Samaria Masih Mempraktekkan Agama Kuno Mereka
Haruskah Anda Menggunakan Facebook atau Google untuk Masuk ke Situs Lain?
Apa Perbedaan Antara Demokrasi dan Republik?
Venice Biennale Adalah 'Olimpiade Seni'
Siapakah Pontius Pilatus, Sebelum dan Setelah Penyaliban Yesus?
Budgie Sangat Sosial dan Menjadi Hewan Peliharaan yang Hebat
Kisah Inspiratif dan Tragis Sophie Scholl, Siswa yang Menentang Hitler
Ikon Hak Sipil Fred Gray Menerima Presidential Medal of Freedom
Pertunjukan Black Panther Marvel Akan Menjadi Pertunjukan Animasi Paling Penting
Rekap The Bear: Apakah Marcus pria yang paling baik hati, paling lembut, dan paling tulus di Chicago?
McLaren Tidak Bisa Berhenti Memecat Pembalap IndyCar, Ia Sebenarnya Menyukainya
Boeing Ingin Semua Orang Berhenti Mengatakan Tes ISS Starliner Adalah Kegagalan
Kabar Buruk Bagi Fani Willis dan Kasus Intervensi Pemilu Trumpnya
Ridley Scott "tidak senang" ketika sekuel Alien dan Blade Runner dibagikan
Bantulah Diri Anda Sendiri Dan Saksikan Acara Speedrunning Terbaik Tahun Ini
AI untuk menggali suara selebriti yang sudah mati untuk membacakan PDF atau apa pun
Rapper YouTube Populer dan Penyihir TikTok Terkenal Ikuti Pertandingan Viral Barking
Bug Open Source Baru Membuat Ribuan Aplikasi iOS Rentan terhadap Pembajakan
Beberapa Penggemar Mortal Kombat Khawatir Game Terbaru Sudah Mati, Tapi Mungkin Lebih Rumit
Hentikan Kucing Anda Menggaruk Furnitur Dengan Strategi yang Didukung Sains Ini
Bisakah Simone Biles Mempersiapkan SZA Untuk Olimpiade?
Inilah Mengapa Eddie Murphy 'Dipaksa' Mengubah Tawanya yang Terkenal
Van Pengiriman Amazon Menyala dalam Ledakan Berapi-api Selama Musim Panas di Houston
Saya Mohon Pemain Final Fantasy 14 Untuk Membaca Dialog Di Dawntrail
Eddie Murphy meliput semuanya di tur pers Beverly Hills Cop: Axel F
Jajak Pendapat: Partai Demokrat Mengikuti Trump Apakah Mereka Menggantikan Biden Dengan Biden, Biden, Atau Biden
Paus Fransiskus Menyetujui Orang Suci Milenial Pertama
Direktur Twister Tidak Mendapat Peringatan Tornado Tentang Twister
Istri Zelensky Sebenarnya Tidak Membeli Bugatti Tourbillon Meskipun Ada Klaim Propaganda Rusia
Saksikan Motorweek Menguji Sterling, Pandangan Inggris yang Terlupakan Tentang Legenda Acura
Mahkamah Agung Mengatur Trump Memiliki Kekebalan Terhadap Kejahatan Apa Pun Yang Dilakukan Antara 9 Dan 5
Seorang Pria Louisiana Mengirimkan Peringatan Mengerikan Menjelang Terjadinya Kejahatan
BMW Tak Ingin Mobil Terbakar di Car Carrier Dijual
Ingatkah Saat Sebuah Maskapai Penerbangan Belanda Memasukkan 440 Tupai ke dalam Mesin Penghancur Raksasa?
Cate Blanchett Menjelaskan Mengapa Dia Ada di Film Borderlands
Tidak Baik: Badai Beryl Adalah Badai Kategori 5 Paling Awal yang Tercatat dalam Sejarah
Salah satu Ide Deadpool 3 yang Banyak Ditolak Ryan Reynolds adalah Road Trip Indie
Deadpool & Wolverine Akhirnya Akan Membuka Film X-Men Marvel
Pengemudi Berhasil Membalikkan Tesla Cybertruck, Tidak Perlu Mengemudi Sendiri
RIP Robert Towne, penulis skenario Chinatown pemenang Oscar
Land Rover Defender Octa Adalah Monster Berkekuatan 626 HP Yang Hadir Untuk Raptor Dunia
Petualangan Bayou Tiana Mematahkan 87 Tahun Kanon Putri Disney yang Aneh
Keponakan Luther Vandross Ingin Mengatakan Sesuatu Tentang Wawancaranya yang Memilukan Pasca Stroke Dengan Oprah Winfrey
Lionsgate memberi waktu satu tahun untuk mengubah judul Now You See Me 3 menjadi Now You Three Me
Sekarang Anda Dapat Memiliki Bikini Paling Ikonik di Fiksi Ilmiah
Turbulensi Menakutkan Mengirim Manusia Terbang ke Tempat Sampah dalam Video Viral
Dengan Harga $9.800, Maukah Anda 'Mengemasnya' di Toyota RAV4 2008 Tujuh Tempat Duduk Ini?
Mahkamah Agung Akan Mendengarkan Argumen tentang Apakah Hukum Texas Dapat Menentukan Kebiasaan Porno Anda
Dua Anak Palestina "Trauma" Setelah Seorang Wanita Diduga Mencoba Menenggelamkan Mereka
MaXXXine Adalah Kisah Hollywood Pulpy yang Terasa Terlalu Jinak
Biden Menanggapi Keputusan Imunitas Trump di Mahkamah Agung, Menunjukkan Bahaya Kekuasaan yang Tidak Terkendali
Alasan Liar Nasib Preman Muda di Uji Coba YSL Rico Akan Lebih Lama Dari Perkiraan
My Elden Ring: Pemanggilan Pemain Shadow Of The Erdtree, Peringkat
Polisi Beverly Hills: Ulasan Axel F: Eddie Murphy santai saja dalam kemunduran Netflix yang tidak rumit
TJ Watt Ingin Melihat Tom Brady dan Brother JJ Dilantik ke NFL Hall of Fame Bersama
Jenazah Diyakini Milik Rapper Hilang Sejak Dibatalkan Gig Ditemukan: 'Mereka Tidak Pantas Ini'
Wanita yang Meninggal 37 Tahun Lalu Setelah Ditemukan Tidak Sadar di Jalan Raya Ga. Diidentifikasi sebagai Ibu Hilang dari 4 Anak
Paul McCartney tentang Menjadi 'Romantis' dengan Istri Nancy Shevell: 'Saya Benar-Benar Melebihi Hari Valentine'
Profesor Universitas Purdue Ditangkap karena Diduga Mengedarkan Meth dan Membujuk Wanita untuk Nikmat Seksual
Kirstie Alley's Estate Mencantumkan Rumah Florida senilai $ 6 Juta dari Late Star yang Dia Beli dari Lisa Marie Presley
Ada 2.500+ Gaya Cuaca Dingin yang Bersembunyi di Bagian Penjualan Rahasia ini di Rak Nordstrom — Mulai dari $6
Gadis Hilang, 17, Kemungkinan Mati Membeku Setelah Mengemudi ke Selokan di Pedesaan Wisconsin: Pejabat
Susan Lucci Menangis Mengingat Mendiang Suami Saat Dia Mengaku Dia 'Belum Siap' Untuk Mulai Berkencan
Chelsea Houska dari 'Teen Mom' Membagikan Reaksi Menangis terhadap Pembaruan Acara HGTV Musim 2: 'Sangat Berarti'
Eric dan Jessie James Decker Selalu 'Berciuman Sepuasnya' — dan Anak-Anak Tidak Menyukainya
Siapakah Istri Vince Vaughn? Semua Tentang Kyla Weber
Tom Girardi Menghadiri Sidang untuk Menentukan Kompetensinya untuk Diadili atas Tuduhan Penipuan
Dwayne Johnson Mengatakan Ibunya 'Baik' Setelah Kecelakaan Mobil Larut Malam, Akan 'Terus Dievaluasi'
Siapa Suami Lisa Vanderpump? Semua Tentang Ken Todd
Molly Ringwald Merayakan Ulang Tahun ke-22 bersama Suami Panio Gianopoulos: 'Keputusan Terbaik yang Pernah Saya Buat'
Bob Barker, Pembawa Acara 'The Price Is Right' Lama, Meninggal di Usia 99: 'MC Terhebat di Dunia'
Whoopi Goldberg Menunjukkan Kit Harington 'Game of Thrones'-nya -Terinspirasi Toilet: 'An Actual Iron Throne'
Melissa Gorga Tidak Yakin Apakah Dia Akan Menyelesaikan Perseteruan dengan Teresa Giudice: 'Seberapa Beracun Anda Membiarkan Sesuatu Menjadi?'
Lizzo Memberikan Merek Dagang untuk '100% Bitch ITU' dalam Pembalikan Setelah Aplikasi Ditolak
Matthew McConaughey Mengungkap Seorang Peramal Menyuruhnya untuk Membintangi 'How to Lose a Guy in 10 Days'
Gwyneth Paltrow Ungkap Gaun Malam Kencan yang Disimpannya dari Hubungannya dengan Brad Pitt 
Pembeli Amazon Mengatakan Mereka Tidur 'Seperti Bayi yang Dimanjakan' Berkat Sarung Bantal Sutra Ini Sekecil $10
Margaret Josephs Membela Pilihan 'Menghancurkan' Melissa dan Joe Gorga untuk Melewatkan Pernikahan Teresa Giudice
Putri Kevin Jonas, Alena, Terlihat Dewasa di Foto Ulang Tahun: 'Usia 9 Tahun Tidak Terasa Nyata'
Keluarga Yara Shahidi: Semua Tentang Orang Tua dan Saudara Aktris
Wanita Ditemukan Hidup dan 'Terengah-engah' di Kantong Jenazah di Rumah Duka Iowa
Pembeli Setuju Penyapu Lantai Black + Decker Ini 'Jauh Lebih Cepat' Daripada Sapu Tradisional, dan Ini Dijual
Penyanyi 'Flashdance' Irene Cara Meninggal karena Hipertensi, Kolesterol Tinggi: Laporan
Monaleo Ungkap Dirinya Hamil, Menantikan Bayi Pertama dengan Boyfriend Stunna 4 Vegas
Heather Rae dan Tarek El Moussa Sambut Bayi Laki-Laki Mereka: 'Hati Kami Sangat Bahagia'
Olympian Jasmine Camacho-Quinn Merayakan Bahwa Kakaknya Robert Quinn Menuju Super Bowl
Muni Long Mengatakan Dia Belum 'Diproses' Menghasilkan 3 Grammy Noms: 'Semuanya Berjalan Begitu Cepat'
Biaya Pencurian Chloe Cherry 'Euphoria' karena Diduga Mencuri Blus $28
Bengals Menjalankan Kembali Joe Mixon Dicari dengan Surat Perintah Penangkapan yang Dikeluarkan karena Diduga Menunjuk Senjata Api ke Wanita
Siapa Istri George Lucas? Semua Tentang Mellody Hobson
"Gal Gadot dan Jamie Dornan Membawakan Aksi Mata-Mata di Trailer 'Heart of Stone' Berisiko Tinggi".
Seluncur Indah AS 'Frustrasi' karena Kurangnya Keputusan Akhir dalam Acara Tim, Menyerukan Keputusan yang Adil
Danielle Moné Truitt dari 'Law & Order' Menganggap Penggemar 'Ditipu; Oleh Stabler dan Benson Kiss Tease
Garis Waktu Hubungan Suzanne Somers dan Alan Hamel
Marvel Sebenarnya Menerbitkan Memoir Fiksi Scott Lang dari 'Ant-Man and the Wasp: Quantumania'
Charly Reynolds Mengungkap Operasi Pita Suara Terbaru: 'Saya Mengalami Kesulitan Bernyanyi'
Siapakah Istri Dog Sang Pemburu Bayaran? Semua Tentang Francie Frane
Mengapa saya tidak pernah melihat orang transgender perempuan ke laki-laki?
Apa yang harus terjadi jika Anda tidak pernah melewati masa puber?
Apakah HRT direkomendasikan untuk remaja transgender?
Saya berusia 14 tahun yang bosan dengan hobinya dengan mudah. Bagaimana saya menemukan minat dan bakat saya?
Saya berusia 14 tahun, nasihat apa yang ingin Anda berikan kepada saya yang akan berguna untuk sisa hidup saya?
Saya transisi dari perempuan ke laki-laki. Apa seharusnya nama baru saya?
Saya berusia 17 tahun, apa yang harus saya lakukan untuk mendapatkan lebih banyak pengetahuan?
Saya 13, transgender (ftm) dan telah menemui terapis selama beberapa bulan sekarang. Bagaimana saya bisa mengatakan kepadanya bahwa saya transgender, dan meminta dia memberikan saran untuk keluar?
Apa keterampilan hidup yang diperlukan yang dapat saya kuasai di musim panas 3 bulan ini? Saya 17 tahun.
Saya 19 dan anak tunggal. Saya menjadi depresi dan khawatir tentang sesuatu yang terjadi pada orang tua saya karena hanya mereka yang saya miliki. Saya tidak punya teman dan saya belum bisa berteman dengan pandemi. Saya takut sendirian, apa yang bisa saya lakukan untuk membantu diri saya sendiri?
Apakah sebaiknya memulai HRT pada usia 18 tahun (transgender)?
Berapa usia terbaik untuk memulai transisi dari wanita ke pria?
Saya seorang mahasiswa berusia 21 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Tidak apa-apa jika saya berusia 13 tahun tetapi masih berjiwa anak-anak?
Prinsip refleksi vs alam semesta
Apakah menghina membunuh karakter gay saya di akhir buku saya?
Mengambil nilai href dari bidang Tautan item Tautan di scriban [duplikat]
Cara terbersih untuk menggunakan BeginTransaction menggunakan coba tangkap
Penggunaan kata Ibrani yang tidak umum untuk "bersinar" dalam Keluaran
Bagaimana cara membuat daftar pekerjaan k8s saya dengan LabelSelector yang kompleks menurut client-go?
Apakah saya harus membuat aplikasi saya menjadi open source jika saya menggunakan data api yang tidak dimodifikasi yang dilisensikan di bawah CC-BY-SA 4.0
Pilih Joomla dari pengelompokan DB DAN / ATAU
Efek Wilson: Seberapa "dalam" bintik matahari?
“ $\Sigma_1^1$-Peano aritmatika ”- menjabarkannya $\mathbb{N}$?
Regex_search c++
Minta izin [awalan] [infiks] [akhiran]. Apa [keseluruhan]?
Berapa matriks logaritma operator turunan ( $\ln D$)? Apa peran operator ini di berbagai bidang matematika?
Dapatkah pohon Stern-Brocot digunakan untuk konvergensi yang lebih baik $2^m/3^n$?
Bulan memiliki kecepatan yang tepat untuk tidak menabrak bumi atau melarikan diri ke luar angkasa. Apa kemungkinannya?
Bisakah kita menghasilkan listrik dari badai pasir Mars? Jika demikian, bisakah itu digunakan untuk menggerakkan koloni?
Apa itu bom Ellerman dan bagaimana kita bisa mengidentifikasinya?
Bagaimana cara melihat apakah sebuah array memiliki 2 atau lebih elemen yang sama? [duplikat]
Kelompok pemimpin pertama Musa Keluaran 18:21
The History of Werewolf Fashion, Bagian 1: 2000-an
Bagaimana cara memantau batas kecepatan di jalan raya pada abad pertengahan? [duplikat]
Mengapa acar buah dan sayuran tidak menjadi bagian dari ransum (Eropa) selama Zaman Pelayaran?
Bisakah Mahkamah Agung menyatakan pemakzulan inkonstitusional? [duplikat]
Mengenai penasihat PhD yang menolak mahasiswa karena masalah kesehatan
Kubernetes - Apakah mungkin untuk menggabungkan Pod.yaml dan Service.yaml dalam satu file yaml (tetapi tanpa Deployment)
Menyelami lebih dalam insiden keamanan Mei 2019: umpan balik entri blog
Seberapa besar kode QR harus ada di atap saya agar satelit dapat memindainya dengan resolusi yang diizinkan hari ini?
Apa hambatan terbesar untuk mendapatkan RL dalam produksi?
Cara mendapatkan teks tertentu yang termasuk dalam kelas div
Mengapa penerbangan tidak terbang menuju jalur pendekatan pendaratan lebih cepat?
Bagaimana cara memasang kristal ke dukun tanpa menggunakan perekat?
Mungkinkah Uranus memiliki permukaan yang kokoh karena komposisi internalnya dan kurangnya panas internal?
Bagaimana cara menghapus cincin Saturnus?
Buktikan barisan $\{a_n\}_n$didefinisikan oleh $a_1=-\frac14$dan $-a_{n+1}=\frac{a_na_{n+1}+4}4$konvergen dan tentukan limitnya.
winforms C # .NET - Cara Meningkatkan Kinerja kode saya saat menggunakan loop (for, foreach, dll…) [ditutup]
Apa hukumnya berperang di kota?
Apa cara yang tepat untuk menutup Soket C # di .NET Core 3.1?
java: hitung semua kunci dan nilai yang berbeda di Map <String, Set <String>> [duplikat]
Apakah ada posisi pasangan paksa ganda?
nginx proxy ke Tomcat dengan SSL
"Mereka tidak menimbulkan rasa bersalah dan mati"
Hapus bagian dalam batas dalam type = color
"Empat puluh hari empat puluh malam"
Dapatkah seseorang mengkarakterisasi antikain maksimal dalam kaitannya dengan kisi distributif?
Puzzle geser 3 x 2
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
Chatbot untuk Kontrol Aset
Chatbot untuk Kontrol Aset
Diam
Diam
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Apa yang kami bangun di tahun 2020
Apa yang kami bangun di tahun 2020
Membuat penekanan kesalahan Arus lebih spesifik
Membuat penekanan kesalahan Arus lebih spesifik
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Samantha Lazar
Samantha Lazar
Pusaran Tahun
Pusaran Tahun
Undangan
Undangan
Dua Repositori Python untuk Visualisasi Teks
Dua Repositori Python untuk Visualisasi Teks
Memanfaatkannya: Desain UX Aplikasi Hibrid
Memanfaatkannya: Desain UX Aplikasi Hibrid
Pemberitahuan &amp; Alarm di Flutter
Pemberitahuan & Alarm di Flutter
6 Hal yang Saya Pelajari Dari Brendon Burchard
6 Hal yang Saya Pelajari Dari Brendon Burchard
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
Halloween di Spectrum
Halloween di Spectrum
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Munculnya Keuangan Terdesentralisasi
Munculnya Keuangan Terdesentralisasi
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved