Pembaruan Analisis Kebal Koa.js

Nov 26 2022
Belum lama ini, saya menulis tentang kerentanan yang memengaruhi Koa.js pada tahun 2018.

Belum lama ini, saya menulis tentang kerentanan yang memengaruhi Koa.js pada tahun 2018. Saya merasa frustrasi karena harus menangani masalah dari tahun 2018 padahal tanggalnya adalah tahun 2022, dan saya menggunakan Koa versi terbaru. 4 tahun telah berlalu. Itu waktu yang lama. Pasti masalahnya sudah tidak ada lagi!? Dan itu dan tidak pada waktu yang sama. Itu berarti saya salah dan benar pada saat bersamaan. Jadi, berikut adalah pembaruan untuk posting sebelumnya untuk memberi tahu Anda caranya:

  • Saya salah menuduh Sonatype dan Dependency Track tidak beroperasi dengan informasi versi dalam kasus tertentu
  • Saya bisa benar dan salah pada saat yang sama tentang kerentanan

Indeks OSS memiliki Informasi Versi

Jika Anda telah membaca posting saya sebelumnya, Anda mungkin ingat bahwa saya menyimpulkan bahwa masalah tersebut tidak memengaruhi saya. Kabar baiknya adalah bahwa saya benar. Berita buruknya adalah saya salah menuduh Sonatype tidak memiliki nomor versi dalam data yang disediakan oleh OSS Index untuk Dependency Track untuk digunakan. Ternyata mereka memang punya informasinya. Itu tidak terlihat di tempat yang saya harapkan seharusnya terlihat. Lihat tangkapan layar di bawah yang diambil pada 22/11/2022.

Informasi tentang versi yang terpengaruh hilang

Sepertinya Dependency Track (DT) tidak bekerja dengan tepat seperti yang ditampilkan pada halaman di atas, tetapi saya tidak peduli untuk memeriksa seperti apa data yang diambil DT dari OSS Index. DT baru saja menunjukkan tautan ke Indeks OSS, tempat saya dapat mempelajari lebih lanjut. Saya mengklik dan mendarat di halaman ini.
Itu menjadi perhatian saya oleh Sonatype hari ini bahwa nomor versi tersedia; Saya harus mencari di tempat lain. Memang, jika Anda masuk ke akun Anda dan mencari Koa atau mengklik tombol "Lihat detail untuk koa" di tangkapan layar di atas, Anda dapat menemukannya. Lihat tangkapan layar di bawah ini.

Koa berdasarkan versi dan penghitung kerentanan dasar

Jadi saya salah. Sonatype memang memiliki informasi dalam database. Masalahnya adalah dengan lapisan presentasi, kalau begitu. Akan lebih baik jika mereka memiliki versi yang terpengaruh terdaftar di halaman tempat kerentanan dibahas sehingga kami dapat melihat dan memverifikasi jika diperlukan.

Saya salah menuduh Sonatype OSS Index tidak memiliki informasi versi. Saya juga salah menuduh Dependency Track bersedia melaporkan hanya berdasarkan nama dependensi jika informasi versi tidak tersedia. (Saya masih perlu mencari tahu apakah yang terakhir itu benar atau salah, saya tidak memeriksanya.)

Jangan menyerah dulu! Hal yang lebih menarik untuk didiskusikan adalah kerentanan aktual dan (semoga) perubahan yang akan datang pada laporan kerentanan di Indeks OSS. Mari kita mulai dengan kerentanannya.

Pembuatan Skrip Lintas Situs

Sonatype mengaitkan XSS dengan Koa berdasarkan proses pemikiran di bawah ini.

Koa adalah entitas yang menulis URL ke respons HTML, bukan pengembang yang menggunakan Koa

Sangat masuk akal untuk mengharapkan pengembang memvalidasi URL yang disediakan, kemungkinan terhadap daftar yang diizinkan, untuk mencegah pengalihan terbuka dan bukan Koa karena Koa tidak tahu URL mana yang ingin Anda izinkan atau tidak. Namun, sebagai pengembang, saya tidak berpikir saya harus khawatir tentang melakukan sanitasi XSS untuk URL yang saya berikan ke metode redirect().

Koa tampaknya peduli dengan XSS dalam konteks ini karena mereka sudah memiliki kode di sana untuk mencegahnya, entitas HTML yang menyandikan URL saat mereka menulisnya ke HTML

Saya setuju sampai batas tertentu. Saya tidak setuju dengan adalah sebagai berikut, misalnya.

Saya tidak berpikir saya harus khawatir melakukan sanitasi XSS untuk URL yang saya berikan ke metode redirect()

Jika Anda mengirimkan URL yang valid dan aman ke metode pengalihan yang Anda (pengembang) berikan, Anda tidak perlu khawatir tentang XSS (jelas). Jika Anda memberikan data yang disediakan pengguna sepenuhnya atau sebagian, itu adalah sesuatu yang harus selalu Anda khawatirkan, apakah Anda seorang pengembang atau profesional keamanan. Tetap saja, tidak terlalu mengada-ada untuk mengharapkan Koa membantu pengembang.

Biarkan saya memberi Anda contoh yang sangat baik yang mudah-mudahan membantu untuk memahami dari mana saya berasal. Pada contoh di bawah ini, saya meneruskan data yang disediakan pengguna kembali ke browser di badan tanggapan. Saya melakukan ini tanpa validasi, sanitasi, atau pengodean apa pun.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Pikirkan tentang apa dan bagaimana saya meneruskan ke browser di badan respons
  • Pertimbangkan (dan mungkin yang terbaik untuk mengontrol secara eksplisit!) nilai header Content-Type untuk respons
  • Ketahuilah bahwa Koa, secara default, secara otomatis menyesuaikan nilai header Content-Type berdasarkan nilai yang diteruskan ke ctx.body. (Coba lewati, misalnya aaa, dan lihat bagaimana perubahannya)

Mempertimbangkan ctx.bodycontoh "XSS" di atas, sepertinya kami menyalahkan Koa karena menerapkan tindakan khusus untuk mencegah bencana saat menggunakan ctx.redirect(). Mengutip Sonatype lagi:

Koa tampaknya peduli dengan XSS dalam konteks ini karena mereka sudah memiliki kode di sana.

Apakah ini berarti jika Koa tidak peduli dengan XSS dalam konteks ini, sama seperti bagaimana mereka tidak (dan seharusnya) tidak peduli tentang hal itu ctx.body, tidak ada yang akan menandainya sebagai kerentanan XSS? Itu cukup lucu. Saya melihat beberapa kemiripan dengan analisis saya sebelumnya tentang Formidable yang didokumentasikan di sini dan di sini .

Setelah mengatakan apa pun yang saya katakan sejauh ini, XSS kebetulan ada di sana… dan tidak pada waktu yang bersamaan. Bagaimana mungkin? Sederhana! Itu ada di sana, tetapi Anda tidak dapat mengeksploitasinya kecuali:

  1. Korban menggunakan browser web lama, DAN
  2. Ada pengalihan terbuka yang diterapkan oleh pengembang menggunakan Koa ctx.redirect(), AND
  3. Pengembang memercayai semua data yang disediakan pengguna sepenuhnya dan meneruskannya secara verbatimctx.redirect()

Laman laporan Sonatype mengatakan seperti yang Anda lihat dari tangkapan layar hari ini, "Buka pengalihan yang mengarah ke Pembuatan Skrip Lintas Situs". Posting saya sebelumnya mempertanyakan bagian "pengalihan terbuka":

Pertama-tama, tidak ada pengalihan terbuka. Ini hanya terbuka jika Anda membukanya dan perbedaan antara kedua PoC (yang asli dan milik saya) dengan jelas menunjukkan hal ini.

Sonatype juga setuju bahwa Koa tidak bertanggung jawab untuk mencegah pengalihan terbuka. Perhatian mereka, perhatian saya, dan perhatian utama semua orang adalah XSS. Melibatkan pengalihan terbuka hanya membingungkan. Pada saat yang sama, secara teknis tidak masuk akal, seperti yang akan kita lihat nanti. (Ini juga akan berdampak pada penilaian kerentanan.)

Seperti disebutkan sebelumnya, berhasil mengeksploitasi perilaku Koa memerlukan pengalihan terbuka. Tetapi:

  • Koa tidak bertanggung jawab untuk mencegah pengalihan terbuka (seperti yang disimpulkan sebelumnya)
  • Koa tidak akan dieksekusi ctx.redirect()tanpa persetujuan pengembang
  • Koa tidak memaksa pengembang untuk menggunakan pengalihan

Jadi, ada lapisan perlindungan lain: kasus penggunaan. Seberapa besar kemungkinan pengembang tidak menginginkan kendali atas ke mana browser dialihkan? Sangat tidak mungkin. Artinya, kemungkinan besar, pengembang akan meneruskan data yang dikontrol pengguna untuk ctx.redirect()ditambahkan ke bagian string lainnya. Jadi, sesuatu yang mirip dengan contoh di bawah ini adalah yang paling mungkin terjadi:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Penilaian Kerentanan

Harus ada tiga (3) syarat yang dipenuhi agar bug dapat dieksploitasi, seperti yang dibahas di akhir bagian sebelumnya.

  • Versi browser apa yang digunakan terserah pengguna akhir
  • Penggunaan metode redirect dan cara penggunaannya terserah developer

Yang juga perlu ditekankan adalah bahwa penggunaan metode pengalihan dengan cara yang tidak aman adalah vektor serangan. Vektor serangan diperlukan untuk keberhasilan eksploitasi. Koa tidak menyediakan vektor serangan; pengembang tidak.

Mari kita hubungkan ini dengan definisi "Kerentanan Perangkat Lunak" yang disediakan oleh NIST:

https://csrc.nist.gov/glossary/term/software_vulnerability

Bagian yang ingin saya soroti adalah "dapat dieksploitasi". Ambil Koa sebagai perpustakaan perangkat lunak. Bisakah Anda mengeksploitasinya tanpa membuat vektor serangan yang diperlukan terlebih dahulu? Tidak. Jadi, dari perspektif Koa, sebuah pustaka perangkat lunak, tidak ada vektor serangan yang disajikan; tanpa itu, eksploitasi tidak mungkin dilakukan. Jika kami menafsirkan definisi secara ketat (yang saya lakukan), kami tidak dapat menyebut perilaku Koa sebagai kerentanan.
Mari kita coba menghitung skor CVSS tanpa vektor serangan:

Menghitung skor CVSS tanpa vektor serangan

Tidak ada skor jika tidak ada vektor serangan. Saya akan mengatakan ini konsisten dengan definisi Kerentanan Perangkat Lunak yang disediakan oleh NIST.
Mari bereksperimen dan buat skenario imajiner di mana ada vektor serangan.

Vektor serangan fiksi

Masih ada beberapa masalah di sini, selain vektor serangan imajiner. Kompleksitas Serangan disetel ke Tinggi karena eksploitasi yang berhasil membutuhkan browser lama. Penyerang harus meyakinkan korban untuk mengunduh dan memasang peramban lama.
Dalam hal itu, Interaksi Pengguna diperlukan, meskipun metrik dasar Interaksi Pengguna tidak benar-benar tentang itu. Dalam skenario ini, apakah mengeksploitasi XSS memerlukan interaksi pengguna tergantung pada bagaimana Aplikasi Web menggunakan pengalihan dan bukan pada Koa. Perlu juga disebutkan bahwa JavaScript yang disuntikkan tidak akan dijalankan sendiri karena memerlukan interaksi pengguna sejak awal: mengeklik tautan di respons HTML.

Jadi apa yang bisa kita lakukan untuk memaksakan skor kerentanan ini? Kita harus memilih sesuatu. Berangan-angan, dengan asumsi yang terburuk, apa pun yang Anda suka. Satu hal yang pasti, Anda melakukan perhitungan yang seharusnya tidak Anda lakukan, dan hasilnya sangat jauh dari kenyataan sehingga saya bahkan tidak dapat menemukan kata-kata untuk itu.

Hal besar berikutnya adalah Metrik Dampak. Anda harus tahu apa yang akan diberitahukan oleh Aplikasi Web tentang dampaknya. Tapi kami tidak menghitung skor kerentanan untuk Aplikasi Web… Mengingat konteksnya, XSS ini tidak berdampak apa-apa pada Koa. Koa tidak menangani atau memproses informasi rahasia sendiri. Bug tidak berdampak pada ketersediaan atau integritas. Itu memberi kita skor akhir 0,0, bahkan setelah memaksakan vektor serangan ke dalam perhitungan.

Jadi pertanyaannya, apakah kita melaporkan fakta atau fiksi?

Sonatype menarik perhatian saya panduan resmi untuk Menskor Kerentanan di Perpustakaan Perangkat Lunak , yang dirilis pada 2019 dengan CVSSv3.1. Saya akui saya tidak tahu tentang itu, yang baik dan buruk. Bagus karena itu akan menghasilkan postingan kata-kata kasar, buruk karena mungkin jika saya melihatnya lebih awal, saya akan kehilangan semua harapan saya sebelum saya berusaha keras untuk mencoba menjelaskan bahwa itu bukan cara yang tepat untuk melakukannya. Jadi, apa yang dikatakan pedoman resmi?

Saat menilai dampak kerentanan di perpustakaan ... Analis harus menilai skenario implementasi kasus terburuk yang masuk akal. Jika memungkinkan, informasi CVSS harus merinci asumsi ini.

Jadi jawabannya adalah penilaian kerentanan didasarkan pada fiksi.

Juga, apa itu " skenario implementasi kasus terburuk yang masuk akal "? Jika kami menganalisis banyak proyek yang menggunakan Koa dan menemukan bahwa sebagian besar pengembang menerapkan pengalihan terbuka menggunakan ctx.redirect()metode Koa, mungkin masuk akal untuk menganggap yang terburuk. Saya melakukan pencarian kode cepat di proyek JavaScript ctx.redirect(di GitHub. Saya mendapat 16.827 hasil kode. Mencari context.redirect(saya menerima 15.751 hasil kode. Itu akan menjadi 32.578 hasil kode untuk dianalisis. Beberapa di antaranya akan menggunakan Koa, beberapa Express, dan beberapa mungkin menggunakan yang lain. (Tentu saja, konteksnya dapat dipanggil dengan nama apa pun, tidak hanya ctxatau context, jadi mungkin ada lebih banyak kode untuk dilihat.)

Pertanyaannya adalah: apakah mengirimkan data yang disediakan pengguna tanpa otak untuk mengarahkan ulang begitu umum? Saya mengambil pendekatan analisis semi-otomatis dengan menulis skrip kecil untuk memeriksa semua proyek yang cocok dengan kriteria pencarian. Sayangnya, saya tidak dapat melewati 1.000 hit pertama karena GitHub menolak permintaan lebih lanjut:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Berdasarkan apa yang telah saya lihat dan mempertimbangkan apa yang dibahas di bagian selanjutnya (“Browser Web Lama”), saya tidak yakin dengan asumsi penerapan kasus terburuk akan masuk akal. Tidak dalam kasus khusus ini.

Pedoman resmi juga mengatakan bahwa:

Saat menskor kerentanan dalam implementasi tertentu menggunakan library yang terpengaruh, skor harus dihitung ulang untuk implementasi spesifik tersebut.

Ini masuk akal dan mengurangi aspek fiksi ilmiah dari situasi tersebut sampai batas tertentu. Beginilah masalah Koa ini, dengan skor kerentanan 9,8, berakhir menjadi 0,0 dalam kasus kami.

Hal baiknya adalah Sonatype setuju bahwa skor kerentanan 9,8 tidak masuk akal, dan mereka bersedia menguranginya. Saya menghargainya, dan mungkin banyak orang lain juga akan menyukainya.

Selain itu, Sonatype memberi tahu saya bahwa ketika mereka menambahkan masalah ke sistem mereka, mereka yakin akan lebih baik jika pelanggan mereka mengetahui tentang situasi yang berpotensi tidak terduga ini. Mereka berkata, "lebih baik waspada daripada mengabaikan apa yang kita lihat dan berpotensi memiliki hasil negatif". Dan, tentu saja, mereka benar.

Saya tidak pernah mempertanyakan apakah masalah keamanan harus dikomunikasikan atau tidak. Ya, masalah keamanan harus dibuat terlihat. Yang saya khawatirkan adalah bagaimana masalah ini dikomunikasikan:

  • Apakah tepat untuk menyebut sesuatu sebagai kerentanan atau lebih tepat menyebutnya sebagai kelemahan keamanan atau perilaku default yang tidak aman, dan seterusnya?
  • Apakah skor kerentanan yang ditetapkan masuk akal?
  • Apakah rincian dan konteks yang memadai disediakan?

Sekarang mari kita bicara sedikit tentang browser web lama.

Peramban Web Lama

Tanpa orang-orang Sonatype yang baik, saya tidak akan memikirkan browser web lama, mungkin tidak akan pernah lagi.

Saya akan terus tidak mempertimbangkan browser lama di masa mendatang juga. Pertama-tama, terlalu banyak hal yang perlu diingat; Saya tidak perlu khawatir tentang browser web lama. Kedua, berapa lama ( jangan klik tautan jika Anda tidak memiliki selera humor! ) browser web lama? Apa sebenarnya arti "tua" itu? Jika ada yang hanya menggunakan browser berusia ~1 tahun, kemungkinan besar mereka sudah memiliki masalah yang jauh lebih besar daripada XSS.

Tetap saja, saya melakukan penggalian dan menemukan bahwa:

  • Google Chrome 48.0.2564.109 (64-bit) dari 2016 (!) bahkan tidak menampilkan badan respons. Karena masalah Koa ditemukan pada tahun 2018, saya pikir mundur sejauh 2016 sudah cukup, tetapi ternyata tidak.
  • Firefox 4.0 dari 2011 memang menampilkan badan respons, tetapi mengharuskan pengguna untuk mengklik tautan agar muatan JavaScript dapat dieksekusi. (Tentu saja, itu tautan!)
  • Firefox 52.0 dari 2017, 1 tahun sebelum masalah Koa XSS dilaporkan, sudah tidak menampilkan badan tanggapan dengan muatan JavaScript. Firefox baru saja melontarkan kesalahan yang mengatakan "Kesalahan Konten Rusak" karena "pelanggaran protokol jaringan".

Koa 0.0.1 dirilis pada tahun 2013, jadi ada beberapa tahun ketika masalah tersebut dapat dieksploitasi. Sampai saat ini, mungkin dapat diterima untuk menandai masalah ini (masih belum dengan skor 9,8) hingga Koa 2.5.0 pada tahun 2018. Namun, setelah itu, tidak ada yang membenarkan apa pun di atas 1,0.

Saat saya menggali, saya menemukan sesuatu yang menarik di Wikipedia . Izinkan saya mengutip:

Firefox 15 dirilis pada 28 Agustus 2012 … Firefox 15 memperkenalkan pembaruan senyap, pembaruan otomatis yang akan memperbarui Firefox ke versi terbaru tanpa memberi tahu pengguna, [65] fitur yang dimiliki browser web Google Chrome dan Internet Explorer 8 ke atas telah dilaksanakan

Jadi semua browser web utama memiliki fitur pembaruan otomatis sebelum versi pertama Koa dirilis, yang berarti kemungkinan besar sebagian besar pengguna menggunakan browser web terbaru. Mari kita lihat keadaan pada saat “big bang”: 2013.

  • Firefox 15 : Mengembalikan kesalahan yang mengatakan "Kesalahan Konten Rusak", yang berarti badan respons tidak ditampilkan kepada pengguna.
  • Chrome 24.0.1312 (WebKit 537.17) : Tidak menampilkan badan tanggapan apa pun. Saat melihat tab jaringan alat pengembang, hampir tidak ada yang terlihat, jadi saya harus menjalankan Wireshark untuk melihat apakah browser melakukan permintaan terlebih dahulu. Di Wireshark, terlihat bahwa Chrome menjangkau layanan PoC saya dan menerima respons dengan muatan JavaScript. Itu tidak membuat badan tanggapan. Bahkan lebih baik, tidak ada yang terjadi.
  • Internet Explorer 11 (11.0.9600.19180) : Itu mengambil respons dari layanan PoC saya, yang saya verifikasi menggunakan Wireshark. Itu tidak menunjukkan badan respons kepada pengguna. Itu kembali dengan halaman kesalahan bawaan klasik yang mengatakan, "Halaman ini tidak dapat ditampilkan".

Setelah melakukan penelitian di atas, mari kembali ke kutipan dari Sonatype sejenak:

Koa tampaknya peduli dengan XSS dalam konteks ini karena mereka sudah memiliki kode di sana untuk mencegahnya, entitas HTML yang menyandikan URL saat mereka menulisnya ke HTML

Meskipun pernyataan ini benar, fakta bahwa tidak ada browser utama yang mengizinkan eksploitasi pada saat versi pertama Koa dirilis, kutipan tersebut menunjukkan sesuatu yang menarik, sesuatu selain dari apa yang ingin disarankan oleh kalimat tersebut. Harap dicatat bahwa saya akan menulis spekulasi karena saya tidak tahu persis bagaimana pemikiran pengembang Koa. Saya dapat dengan mudah membayangkan pengembang melakukan pengujian perilaku tersebut menggunakan browser web terbaru. Mereka mungkin telah menemukan bahwa pengkodean HTML cocok karena sudah tidak mungkin untuk mengeksekusi kode JavaScript yang disuntikkan dari hrefpropertiamenandai. Ini menimbulkan pertanyaan serius. Setelah menghabiskan lima tahun terakhir lebih banyak di sisi pengembangan perangkat lunak, itu juga berlaku untuk saya: Sebagai pengembang, jika saya akan membuat teknologi web baru untuk sisi backend, haruskah saya peduli dengan browser web lama? Dan jika saya harus, apa rekomendasi resmi dari komunitas keamanan mengenai seberapa jauh saya harus mempertimbangkan browser web lama? Haruskah kita tidak mempertimbangkan bahwa praktik terbaik keamanan untuk pengguna akhir adalah menjaga browser mereka tetap mutakhir, dan fitur pembaruan otomatis juga ada untuk membantu? Juga, jika kami mengharapkan pengembang untuk mengingat dan menguji dengan browser lama, tidak dapatkah kami mengharapkan profesional keamanan untuk melakukan hal yang sama dan memberi nama semua browser web dan versinya yang berkontribusi pada masalah tertentu alih-alih hanya merujuk ke "browser lama ”? Itu hanya adil.

Satu hal yang pasti, tidak ada yang perlu dikhawatirkan sejak bertahun-tahun sekarang…

Peramban Modern

Dalam analisis saya, menggunakan browser web saya, saya memeriksa isi respons dan ternyata kosong. Saya tidak memeriksa apakah respons yang dikirim melalui kabel memiliki badan. Ternyata hanya Google Chrome yang sepenuhnya mengabaikan badan respons; oleh karena itu, itu tidak ditampilkan. Itu sudah cukup bagus bagi saya. Wajar, saya harus menambahkan.

Sejak itu, saya telah melihat respons layanan web pengujian saya menggunakan Koa versi terbaru. Kita dapat melihat di bawah bahwa ada badan respons HTML dengan kode JavaScript yang disuntikkan di sana:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Perubahan Mendatang

Di bawah ini adalah daftar pembaruan yang direncanakan Sonatype untuk diterapkan terkait masalah ini:

  • Pembaruan garis Ringkasan/Judul untuk menghilangkan kesalahpahaman (sudah terjadi)
  • Mengurangi skor kerentanan menjadi 4,7 (sudah terjadi)
  • Sebutkan bahwa kerentanan hanya dapat dieksploitasi jika pengguna menjalankan browser lama

Perubahan Tambahan yang Ingin Saya Lihat

Selain perubahan yang disebutkan di bagian sebelumnya, beberapa hal dapat ditingkatkan lebih lanjut. Ini adalah:

  • Mengurangi skor kerentanan lebih lanjut, terutama untuk versi Koa yang dirilis setelah 2018.
  • Menyertakan nomor versi dari setidaknya browser web utama dan tanggal rilisnya yang disertakan dalam laporan saat mengacu pada "browser lama". Ini akan sangat membantu siapa pun saat "menilai kerentanan dalam implementasi tertentu menggunakan pustaka yang terpengaruh". Misalnya, jika saya melihat bahwa pengguna harus menggunakan browser dari tahun 2011, saya akan menandai masalah tersebut sebagai "tidak terpengaruh" di SCA dalam satu detik. Banyak waktu yang dihemat.
  • Versi Koa yang terpengaruh akan dicantumkan di halaman kerentanan .

Omong-omong, Sonatype juga menyebutkan bahwa mereka memiliki beberapa pemeriksaan keren dalam penawaran komersial mereka yang, misalnya, melakukan pemeriksaan aktual pada tingkat kode untuk melihat apakah aplikasi terpengaruh oleh kerentanan yang dilaporkan. Kedengarannya bagus, dan mengingat sifat fiksi ilmiah tentang bagaimana skor kerentanan dihitung untuk perpustakaan, pemeriksaan semacam ini harus dilakukan untuk mengurangi beban tim teknik, terutama jika keadaan terus berlanjut seperti ini.

Kesimpulan

Itu cukup banyak semua pembaruan yang saya miliki. Saya senang telah menghubungi Sonatype karena mereka sangat profesional dan ramah. Sangat menyenangkan bekerja dengan mereka dalam hal ini.

Mengenai XSS di Koa: itu adalah sesuatu yang seharusnya tidak ada dari kita yang khawatir selama beberapa tahun sekarang.

Struktur Data di JavaScript
Struktur Data di JavaScript
Apa itu Linked List? [Bagian 1]
Apa itu Linked List? [Bagian 1]
Jadi, Ceritakan Tentang Daftar Tertaut
Jadi, Ceritakan Tentang Daftar Tertaut
Ketika Semua Gagal, Jadilah Kreatif
Ketika Semua Gagal, Jadilah Kreatif
Kapal Luar Angkasa Saya di Ujung Dunia
Kapal Luar Angkasa Saya di Ujung Dunia
Lasagna labu dan kale
Lasagna labu dan kale
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Tidak takut gagal, Walker Buehler dengan tenang berhasil kembali di NLCS Game 6
Well with Kell: Friend, Clean Your Gut!
Well with Kell: Friend, Clean Your Gut!
Tetanggaku
Tetanggaku
Berkilau
Berkilau
Kreativitas sebagai Kompas
Kreativitas sebagai Kompas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Ketakutan dan Duka pada Kreativitas
Pengaruh Solitude pada Kreativitas
Pengaruh Solitude pada Kreativitas
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Tetapi Bagaimana Jika Saya Tidak Memiliki Tempat Untuk Kembali?
Duka yang Tak Terlihat
Duka yang Tak Terlihat
Saya Akhirnya Berhenti Merokok
Saya Akhirnya Berhenti Merokok
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Saya Tidak Lagi Merasa Bersalah karena Tidak Produktif Terkunci
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Amerika Selalu Menjadi Hutan Belantara yang Brutal dan Sepi
Ulasan Singkat Dua Adegan di 'Borat 2'
Ulasan Singkat Dua Adegan di 'Borat 2'
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Anak Transgender Anda Membutuhkan Terapis - Dan Anda Juga
Pelajaran Hidup Courtesy of My Transgender Son
Pelajaran Hidup Courtesy of My Transgender Son
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Saya Menolak Membiarkan Khawatir Memiliki Semua Kekuatan
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Masker Wajah yang Menyebalkan, Mode, dan Ketakutan COVID-19
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
Samsung Galaxy Note 20 Ultra: Ponsel Kanan, Waktu Salah
Jana Duggar: Semua yang Dia Katakan Tentang Cinta dan Jendela 5 Tahunnya untuk Menemukan 'Yang Satu'
Paul McCartney Membagikan Apa yang Paling Membuatnya Terkesan Tentang John Lennon Ketika Mereka Pertama Kali Bertemu
Nicole Kidman Menyukai 1 Fitur Menarik Ini Yang Dibagikan Michael Keaton dan Val Kilmer sebagai Batman
Bagaimana John Ritter Meninggal: Melihat Kembali Kematian Aktor 'Three's Company'
Rolling Stones: Keith Richards Kesal Oleh 1 Kelompok Penggemar Musik Yang Mengkritik Band
'Boy Meets World': Mengapa Mr. Turner Menghilang Dari Seri?
MIA Pernah Menyerang 'Give Peace a Chance' John Lennon
Nasihat Jimmy Page untuk Musisi Muda Langsung Dari Buku Pegangan Pembicara Motivasi
'Simpati untuk Iblis' The Rolling Stones Awalnya Terdengar Seperti Musik Brasil
Taylor Sheridan Baru Menambahkan 1 Bintang 'Yellowstone' Favoritnya ke Pemeran 'Lawmen: Bass Reeves'
Paul McCartney Mengatakan 'Sersan. Lagu Pepper Bukan Tentang Heroin
Dolly Parton Menemukan Tuhan di Sebuah Gereja Terbengkalai Remaja Lokal Digunakan untuk Seks
Quentin Tarantino Pernah Membagikan Karakter Paling Menarik yang Pernah Dia Tulis di 'Pulp Fiction'
John Lennon Mengatakan Lagu B-52 Ini Terdengar 'Persis Seperti Musik Yoko'
'My Way' Frank Sinatra Tidak Sebesar 'Old MacDonald'-nya
Manajer Led Zeppelin Peter Grant Melihat Band Palsu Memenangkan Grammy Sebelum Zep melakukannya
Billy Crystal dan Robin Williams Ad-Libbed Seluruh Cameo 'Teman' Mereka
Stevie Nicks 'Latched' ke 1 Lagu Joni Mitchell Ketika Dia Merasa Karier Musiknya Gagal
Dolly Parton Membantu Neneknya yang 'Cacat' Ketika Tidak Ada Cucu Lain yang Mau—Dia Juga Mengerjainya
Paul McCartney Membayangkan Bagaimana Reaksi Ibunya terhadap Kesuksesannya
Ringo Starr Menolak Bermain Dengan Track Klik, dan Itu Membuatnya Menjadi Drummer yang Lebih Baik
Lagu The Early Beatles yang Menjadi Salah Satu 'Penampilan Paling Menyenangkan' Band, Menurut Fab Four Insider
Winona Ryder Pernah Membagikan Semua Karakternya Ditulis Sebagai 'Gadis Jelek' Di Awal Karirnya
Paul McCartney Sangat Tertekan Tentang Satu-satunya Acara The Beatles yang Dibatalkan Sehingga Dia Muntah
Lagu Paul Simon yang Memparodikan Bob Dylan dengan Sempurna 
Christopher Nolan Pernah Menyesal Membaca 'Naskah Pulp Fiction' Quentin Tarantino
Melihat Kembali Peran Buddy Ebsen di 'The Andy Griffith Show'
Karier Akting Bradley Cooper Dipertaruhkan Ketika Dia Bekerja Dengan Julia Roberts dalam Proyek Ini
Prince Mengerjakan Lagu Stevie Nicks selama satu Jam dan Mendapat Setengah dari Royalti 
'Kasus Penasaran Natalia Grace': Di Mana Natalia, Kristine, dan Michael Barnett Hari Ini?
Lagu The Beatles Peter Asher Disebut 'Lagu Terhebat yang Pernah Saya Dengar'
David Bowie Hampir Menulis Musikal yang Terdiri dari Lagu Bob Dylan Palsu
'Jangan Tidur di Kereta Bawah Tanah' Bingung Petula Clark
Bagaimana Paul McCartney Bereaksi terhadap Judul The Beatles 'Lucy in the Sky with Diamonds'
Donovan Membandingkan 1 Lagunya dengan 'Lucy in the Sky with Diamonds' The Beatles
Paul McCartney Mengatakan 'When I'm Sixty-Four' The Beatles Adalah Sebuah Lelucon
Petula Clark Said 'Downtown' Mengungkap Lagu Putus asa
Judy Norton dari 'The Waltons' Menyadari Dia Kadang-kadang 'A Brat' Saat Syuting Pertunjukan
Paul McCartney Mengatakan Dia 'Beruntung' Dia Tidak Pernah Menggunakan Heroin 
John Lennon Mengatakan 1 Baris dalam 'Revolusi' The Beatles Mengomentari Polisi
Waktu Terbaik Mengunjungi Lokasi Syuting 'Little House on the Prairie'
Brad Pitt dan Harrison Ford Harus Mengarang 'The Devil's Own' dengan Cepat Ketika 'Naskah Dibuang'
Paul McCartney: Penderitaan Membuat 1 Lagu Dari The Beatles 'White Album' Bagus
Sam Heughan Tahu Persis Apa yang Akan Dia Ambil Dari Set 'Outlander' - 'Saya Merasa Seperti Saya Jamie Ketika Saya Memakainya'
Mick Jagger Mengatakan 'Permintaan Yang Mulia Setan' The Rolling Stones Terinspirasi oleh Acid, Bukan The Beatles
Gene Simmons Mengatakan Buku Komik KISS Berpotensi “Menciptakan Kembali Kemanusiaan
George Harrison Kesal Liriknya untuk 'Hurdy Gurdy Man' Donovan Tidak Digunakan
Mengapa Paul McCartney 'Dijaga' Tentang Menceritakan Kebenaran Tentang The Beatles
Venice Biennale Adalah 'Olimpiade Seni'
Apa Perbedaan Antara Demokrasi dan Republik?
Trovant Adalah Batu Yang Tampaknya Tumbuh, Bergerak, dan Bereproduksi
Ketanji Brown Jackson Dikonfirmasi sebagai Hakim Agung
Mungkin Anda Bisa Terlalu Kurus? Temui Pencakar Langit Terkurus di Dunia
Ngengat Atlas Adalah Ngengat Behe, Ditambah 5 Fakta Lainnya
Haruskah Anda Menggunakan Facebook atau Google untuk Masuk ke Situs Lain?
Hagfish: Mesin Slime Seperti Belut Ini Adalah Mimpi Buruk Predator
Cara Mengatur Ulang Pabrik iPhone Anda
Apa Perbedaan Ragi Kering Instan dan Aktif?
Apa itu Pil Racun dan Akankah Twitter Menjaga Elon Musk di Teluk?
Maukah Anda Makan Casu Marzu, Keju Ilegal Dengan Belatung?
Mengapa AS Tidak Memiliki Sistem Pengarsipan Pajak 'Bebas Pengembalian'?
Martha Mitchell: Wanita yang Terlalu Banyak Tahu Tentang Watergate
The Secrets of Airline Travel Quiz
Sekelompok Kecil Orang Samaria Masih Mempraktekkan Agama Kuno Mereka
5 Kutipan Fasih dan Abadi Dari Maya Angelou
Manakah Grapefruit yang Paling Manis – Putih, Merah atau Merah Muda?
Melihat Pernikahan Paling Berkesan di Gedung Putih
Donasikan Rambut Anda untuk Membantu Menjaga Air Kami Tetap Bersih
Ikon Hak Sipil Fred Gray Menerima Presidential Medal of Freedom
Cara Membasmi Lalat Tiriskan
Siapakah Pontius Pilatus, Sebelum dan Setelah Penyaliban Yesus?
Belalang Anggrek Terlihat Seperti Bunga, 'Menyengat' Seperti Lebah
Bisakah Pembangkit Listrik Virtual Membantu Menstabilkan Jaringan Energi AS?
Kisah Inspiratif dan Tragis Sophie Scholl, Siswa yang Menentang Hitler
Elon Musk Pemilik Twitter. Apa yang Mungkin Salah?
Pripyat: Kota Hantu Ukraina di Bayangan Chernobyl
Bisakah Kita Menyelamatkan Badak Sumatera dari Kepunahan?
Sonifikasi: Mendengarkan Suara Menghantui Alam Semesta
$1.500 Hari Ini Membeli Yellowstone Pass seharga 2172
Gunung Tertinggi di Tata Surya Jauh Lebih Tinggi Dari Everest
Waktu Mungkin Tidak Ada, Kata Beberapa Fisikawan dan Filsuf
Pemikiran Objektif vs. Pemikiran Subjektif dan Aplikasinya
Apa itu Corengan, dan Bisakah Itu Memurnikan Ruang Energi Negatif?
Where in the World Are You? Take our GeoGuesser Quiz
Dari Mana Frasa "Di Lam" Berasal?
Bisakah Boson W yang Baru Diukur Mematahkan Model Standar?
Apakah Anda Perlu Memiliki Sikap Positif untuk Mengalahkan Kanker?
Apakah Memasak Induksi Lebih Baik Dari Gas atau Listrik?
Mengapa Perusahaan Besar Seperti Tesla dan Amazon Memisahkan Saham
Mengapa Sriracha Adalah Saus Panas Favorit Semua Orang
Budgie Sangat Sosial dan Menjadi Hewan Peliharaan yang Hebat
Hotel Serangga Meluncurkan Tikar Selamat Datang untuk Segala Jenis Serangga
'Heatflasi': Bagaimana Suhu Tinggi Membuat Harga Pangan Melonjak
Pengungsi Ukraina Mungkin Tidak Pernah Kembali ke Rumah, Bahkan Setelah Perang Berakhir
Chief Plenty Coups: Pemimpin Visioner dan Pembela Negara Gagak
Apa itu Kelembapan dan Bagaimana Kelembapan Mempengaruhi Suhu?
Paus Fransiskus Menyetujui Orang Suci Milenial Pertama
Alasan Liar Nasib Preman Muda di Uji Coba YSL Rico Akan Lebih Lama Dari Perkiraan
Ingatkah Saat Sebuah Maskapai Penerbangan Belanda Memasukkan 440 Tupai ke dalam Mesin Penghancur Raksasa?
Salah satu Ide Deadpool 3 yang Banyak Ditolak Ryan Reynolds adalah Road Trip Indie
Beberapa Penggemar Mortal Kombat Khawatir Game Terbaru Sudah Mati, Tapi Mungkin Lebih Rumit
Seorang Pria Louisiana Mengirimkan Peringatan Mengerikan Menjelang Terjadinya Kejahatan
Rekap The Bear: Apakah Marcus pria yang paling baik hati, paling lembut, dan paling tulus di Chicago?
Bisakah Simone Biles Mempersiapkan SZA Untuk Olimpiade?
Jajak Pendapat: Partai Demokrat Mengikuti Trump Apakah Mereka Menggantikan Biden Dengan Biden, Biden, Atau Biden
Saksikan Motorweek Menguji Sterling, Pandangan Inggris yang Terlupakan Tentang Legenda Acura
Istri Zelensky Sebenarnya Tidak Membeli Bugatti Tourbillon Meskipun Ada Klaim Propaganda Rusia
Bantulah Diri Anda Sendiri Dan Saksikan Acara Speedrunning Terbaik Tahun Ini
Boeing Ingin Semua Orang Berhenti Mengatakan Tes ISS Starliner Adalah Kegagalan
Pengemudi Berhasil Membalikkan Tesla Cybertruck, Tidak Perlu Mengemudi Sendiri
Land Rover Defender Octa Adalah Monster Berkekuatan 626 HP Yang Hadir Untuk Raptor Dunia
Rapper YouTube Populer dan Penyihir TikTok Terkenal Ikuti Pertandingan Viral Barking
RIP Robert Towne, penulis skenario Chinatown pemenang Oscar
Polisi Beverly Hills: Ulasan Axel F: Eddie Murphy santai saja dalam kemunduran Netflix yang tidak rumit
My Elden Ring: Pemanggilan Pemain Shadow Of The Erdtree, Peringkat
Bug Open Source Baru Membuat Ribuan Aplikasi iOS Rentan terhadap Pembajakan
Xbox Mengalami Gangguan Besar [Pembaruan: Berfungsi Kembali]
Inilah Mengapa Eddie Murphy 'Dipaksa' Mengubah Tawanya yang Terkenal
Saya Menghabiskan Akhir Pekan Dengan Remote Play dan Cloud Gaming Dan Itu Sungguh Luar Biasa
Pertunjukan Black Panther Marvel Akan Menjadi Pertunjukan Animasi Paling Penting
Dua Anak Palestina "Trauma" Setelah Seorang Wanita Diduga Mencoba Menenggelamkan Mereka
Petualangan Bayou Tiana Mematahkan 87 Tahun Kanon Putri Disney yang Aneh
Van Pengiriman Amazon Menyala dalam Ledakan Berapi-api Selama Musim Panas di Houston
Hentikan Kucing Anda Menggaruk Furnitur Dengan Strategi yang Didukung Sains Ini
Biden Menanggapi Keputusan Imunitas Trump di Mahkamah Agung, Menunjukkan Bahaya Kekuasaan yang Tidak Terkendali
Histeria Penguncian yang Dipicu Gergaji Cate Blanchett Membawanya ke Borderlands
Turbulensi Menakutkan Mengirim Manusia Terbang ke Tempat Sampah dalam Video Viral
Eddie Murphy meliput semuanya di tur pers Beverly Hills Cop: Axel F
Apakah Anda Menginginkan Corvette Tapi Ingin Terlihat Mengerikan? Wah, Sudahkah Kami Punya Mobil Untukmu
MaXXXine Adalah Kisah Hollywood Pulpy yang Terasa Terlalu Jinak
Saya Mohon Pemain Final Fantasy 14 Untuk Membaca Dialog Di Dawntrail
Mahkamah Agung Mengatur Trump Memiliki Kekebalan Terhadap Kejahatan Apa Pun Yang Dilakukan Antara 9 Dan 5
McLaren Tidak Bisa Berhenti Memecat Pembalap IndyCar, Ia Sebenarnya Menyukainya
Ridley Scott "tidak senang" ketika sekuel Alien dan Blade Runner dibagikan
Lionsgate memberi waktu satu tahun untuk mengubah judul Now You See Me 3 menjadi Now You Three Me
Tidak Baik: Badai Beryl Adalah Badai Kategori 5 Paling Awal yang Tercatat dalam Sejarah
Deadpool & Wolverine Akhirnya Akan Membuka Film X-Men Marvel
Direktur Twister Tidak Mendapat Peringatan Tornado Tentang Twister
Cate Blanchett Menjelaskan Mengapa Dia Ada di Film Borderlands
Mahkamah Agung Akan Mendengarkan Argumen tentang Apakah Hukum Texas Dapat Menentukan Kebiasaan Porno Anda
AI untuk menggali suara selebriti yang sudah mati untuk membacakan PDF atau apa pun
Sekarang Anda Dapat Memiliki Bikini Paling Ikonik di Fiksi Ilmiah
Kabar Buruk Bagi Fani Willis dan Kasus Intervensi Pemilu Trumpnya
BMW Tak Ingin Mobil Terbakar di Car Carrier Dijual
Chelsea Houska dari 'Teen Mom' Membagikan Reaksi Menangis terhadap Pembaruan Acara HGTV Musim 2: 'Sangat Berarti'
Dwayne Johnson Mengatakan Ibunya 'Baik' Setelah Kecelakaan Mobil Larut Malam, Akan 'Terus Dievaluasi'
Penyanyi 'Flashdance' Irene Cara Meninggal karena Hipertensi, Kolesterol Tinggi: Laporan
MSNBC's Yasmin Vossoughian Mengatakan Dokter Mengabaikan Nyeri Dadanya sebagai Refluks Kemudian 'Mimpi Buruknya' Dimulai
Bob Barker, Pembawa Acara 'The Price Is Right' Lama, Meninggal di Usia 99: 'MC Terhebat di Dunia'
Wanita yang Meninggal 37 Tahun Lalu Setelah Ditemukan Tidak Sadar di Jalan Raya Ga. Diidentifikasi sebagai Ibu Hilang dari 4 Anak
Tom Girardi Menghadiri Sidang untuk Menentukan Kompetensinya untuk Diadili atas Tuduhan Penipuan
Susan Lucci Menangis Mengingat Mendiang Suami Saat Dia Mengaku Dia 'Belum Siap' Untuk Mulai Berkencan
Siapa Tunangan JWoww? Semua Tentang Zack Clayton Carpinello
Pembeli Amazon Mengatakan Mereka Tidur 'Seperti Bayi yang Dimanjakan' Berkat Sarung Bantal Sutra Ini Sekecil $10
Monaleo Ungkap Dirinya Hamil, Menantikan Bayi Pertama dengan Boyfriend Stunna 4 Vegas
Garis Waktu Hubungan Suzanne Somers dan Alan Hamel
Charly Reynolds Mengungkap Operasi Pita Suara Terbaru: 'Saya Mengalami Kesulitan Bernyanyi'
Olympian Jasmine Camacho-Quinn Merayakan Bahwa Kakaknya Robert Quinn Menuju Super Bowl
Seluncur Indah AS 'Frustrasi' karena Kurangnya Keputusan Akhir dalam Acara Tim, Menyerukan Keputusan yang Adil
Biaya Pencurian Chloe Cherry 'Euphoria' karena Diduga Mencuri Blus $28
Whoopi Goldberg Menunjukkan Kit Harington 'Game of Thrones'-nya -Terinspirasi Toilet: 'An Actual Iron Throne'
Margaret Josephs Membela Pilihan 'Menghancurkan' Melissa dan Joe Gorga untuk Melewatkan Pernikahan Teresa Giudice
Siapakah Istri Dog Sang Pemburu Bayaran? Semua Tentang Francie Frane
"Gal Gadot dan Jamie Dornan Membawakan Aksi Mata-Mata di Trailer 'Heart of Stone' Berisiko Tinggi".
Molly Ringwald Merayakan Ulang Tahun ke-22 bersama Suami Panio Gianopoulos: 'Keputusan Terbaik yang Pernah Saya Buat'
Siapakah Istri John Cleese? Semua Tentang Jennifer Wade
Bengals Menjalankan Kembali Joe Mixon Dicari dengan Surat Perintah Penangkapan yang Dikeluarkan karena Diduga Menunjuk Senjata Api ke Wanita
Gadis Hilang, 17, Kemungkinan Mati Membeku Setelah Mengemudi ke Selokan di Pedesaan Wisconsin: Pejabat
Putri Kevin Jonas, Alena, Terlihat Dewasa di Foto Ulang Tahun: 'Usia 9 Tahun Tidak Terasa Nyata'
Pemeran Laguna Beach: Di Mana Mereka Sekarang?
Gwyneth Paltrow Ungkap Gaun Malam Kencan yang Disimpannya dari Hubungannya dengan Brad Pitt 
Lizzo Memberikan Merek Dagang untuk '100% Bitch ITU' dalam Pembalikan Setelah Aplikasi Ditolak
Matthew McConaughey Mengungkap Seorang Peramal Menyuruhnya untuk Membintangi 'How to Lose a Guy in 10 Days'
Marvel Sebenarnya Menerbitkan Memoir Fiksi Scott Lang dari 'Ant-Man and the Wasp: Quantumania'
Muni Long Mengatakan Dia Belum 'Diproses' Menghasilkan 3 Grammy Noms: 'Semuanya Berjalan Begitu Cepat'
Pembeli Setuju Penyapu Lantai Black + Decker Ini 'Jauh Lebih Cepat' Daripada Sapu Tradisional, dan Ini Dijual
Penyelamatan Hewan Memperingatkan 'Jangan Pernah Mewarnai Burung' Setelah Merpati Merah Muda 'Berjuang' Ditemukan Mengembara NYC
Heather Rae dan Tarek El Moussa Sambut Bayi Laki-Laki Mereka: 'Hati Kami Sangat Bahagia'
Danielle Moné Truitt dari 'Law & Order' Menganggap Penggemar 'Ditipu; Oleh Stabler dan Benson Kiss Tease
Wanita Ditemukan Hidup dan 'Terengah-engah' di Kantong Jenazah di Rumah Duka Iowa
Eric dan Jessie James Decker Selalu 'Berciuman Sepuasnya' — dan Anak-Anak Tidak Menyukainya
Paul McCartney tentang Menjadi 'Romantis' dengan Istri Nancy Shevell: 'Saya Benar-Benar Melebihi Hari Valentine'
Ada 2.500+ Gaya Cuaca Dingin yang Bersembunyi di Bagian Penjualan Rahasia ini di Rak Nordstrom — Mulai dari $6
Profesor Universitas Purdue Ditangkap karena Diduga Mengedarkan Meth dan Membujuk Wanita untuk Nikmat Seksual
Siapakah Istri Vince Vaughn? Semua Tentang Kyla Weber
Kirstie Alley's Estate Mencantumkan Rumah Florida senilai $ 6 Juta dari Late Star yang Dia Beli dari Lisa Marie Presley
Siapa Suami Lisa Vanderpump? Semua Tentang Ken Todd
Semua Tentang Hubungan Zoë Kravitz dengan Orang Tua Lenny Kravitz dan Lisa Bonet
Siapa Istri George Lucas? Semua Tentang Mellody Hobson
Jenazah Diyakini Milik Rapper Hilang Sejak Dibatalkan Gig Ditemukan: 'Mereka Tidak Pantas Ini'
Keluarga Yara Shahidi: Semua Tentang Orang Tua dan Saudara Aktris
TJ Watt Ingin Melihat Tom Brady dan Brother JJ Dilantik ke NFL Hall of Fame Bersama
Apa pro dan kontra dari Pubertas?
Berapa usia terbaik untuk memulai transisi dari wanita ke pria?
Apakah Spironolakton buruk untuk HRT?
Apa hal terpenting yang harus diingat oleh remaja berusia 14 tahun?
Apa yang dapat dilakukan seorang anak berusia 14 tahun untuk membuat hidup mereka lebih baik/mudah?
Jika saya ingin mengetahui untuk memulai pengobatan perubahan jenis kelamin, dokter seperti apa yang harus saya kunjungi?
Apakah semua orang mengalami masa pubertas?
Apa dampak negatif dari masa pubertas (kesehatan mental, dll.)?
Saya seorang depresi berusia 13 tahun dan saya ingin menemui dokter tentang hal itu, tetapi saya takut melakukannya dan orang tua saya akan mengabaikannya hanya karena hormon saya dan semacamnya. Apa yang harus saya lakukan?
Obat apa yang bisa mengubah pria menjadi wanita tanpa operasi?
Saya transisi dari perempuan ke laki-laki. Apa seharusnya nama baru saya?
Saya berusia 17 tahun dan berencana untuk masuk HRT ketika saya lulus tahun ini sebagai usia 18 tahun. Sampai saat itu apa yang bisa saya lakukan untuk membuat diri saya merasa lebih perempuan?
Apa cara terbaik untuk transisi alami dari pria ke wanita?
Bagaimana cara mendapatkan HRT tanpa mengatakan saya ingin HRT?
Saya akan berusia 16 tahun besok. Nasihat khusus apa yang dapat Anda berikan kepada anak laki-laki berusia 16 tahun?
Mengapa saya tidak pernah melihat orang transgender perempuan ke laki-laki?
Bagaimana saya menjalani hidup sepenuhnya sebagai anak berusia 19 tahun?
Saya berumur 23 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Apakah operasi pantat layak untuk transisi pria ke wanita?
Saya berumur 30 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Apa keterampilan hidup yang diperlukan yang dapat saya kuasai di musim panas 3 bulan ini? Saya 17 tahun.
Apakah sebaiknya memulai HRT pada usia 18 tahun (transgender)?
Saya baru berusia 17 tahun, apa yang harus saya lakukan sekarang untuk menjamin kehidupan terbaik untuk diri saya sendiri?
Apakah 18 tahun adalah usia yang baik untuk memulai transisi ke MTF?
Bisakah Anda memulai hormon MTF HRT pada usia 13?
Transgender: Apa bagian tersulit dari transisi pria ke wanita Anda?
Apa yang harus terjadi jika Anda tidak pernah melewati masa puber?
Saya berusia 14 tahun yang bosan dengan hobinya dengan mudah. Bagaimana saya menemukan minat dan bakat saya?
Umurku 16 tahun akan menginjak 17 tahun bulan depan. Bagaimana cara mendapatkan terapis jika ibu saya berpikir saya tidak membutuhkannya?
Apakah pubertas terjadi secara bertahap? Bisakah itu berhenti dan kemudian mulai lagi?
Saya seorang mahasiswa berusia 21 tahun. Apa yang bisa saya lakukan sekarang yang akan mengubah hidup saya selamanya?
Selama transisi gender dari pria ke wanita, bagaimana rasanya membesarkan payudara?
Saya 13, transgender (ftm) dan telah menemui terapis selama beberapa bulan sekarang. Bagaimana saya bisa mengatakan kepadanya bahwa saya transgender, dan meminta dia memberikan saran untuk keluar?
Bagaimana cara menghentikan pubertas tanpa penghambat pubertas?
Tidak apa-apa jika saya berusia 13 tahun tetapi masih berjiwa anak-anak?
Bagaimana saya bisa mengubah hidup saya di usia 17?
Apakah saya masih waria (FTM) jika saya baru mulai menunjukkan tanda-tanda ketika saya mencapai pubertas?
Saya 19 hari ini. Apa hal terpenting yang harus saya pelajari?
Saya berusia 17 tahun dalam sebulan dan saya berpikir bahwa saya tidak benar-benar merasa berbeda dari 11 tahun, apakah ini normal? Akankah saya benar-benar berubah seiring bertambahnya usia?
Saya 19. Apakah saya masih mengalami pubertas?
Bagaimana cara memulai transisi saya dari pria ke wanita? Saya selalu menjadi seorang gadis di dalam. Apa yang harus saya lakukan?
Saya 19 dan anak tunggal. Saya menjadi depresi dan khawatir tentang sesuatu yang terjadi pada orang tua saya karena hanya mereka yang saya miliki. Saya tidak punya teman dan saya belum bisa berteman dengan pandemi. Saya takut sendirian, apa yang bisa saya lakukan untuk membantu diri saya sendiri?
Perubahan apa yang akan terjadi jika Anda melakukan HRT pada usia 13 tahun?
Saya berusia 14 tahun, nasihat apa yang ingin Anda berikan kepada saya yang akan berguna untuk sisa hidup saya?
Sebagai anak berusia 13 tahun, bagaimana saya bisa menabung dan menyimpan uang tanpa sepengetahuan orang tua saya?
Apakah HRT direkomendasikan untuk remaja transgender?
Bagaimana cara membuat janji dengan dokter tanpa orang tua saya dan tanpa mereka tahu alasan saya pergi? Saya berumur 15 tahun.
Menurut Anda, transisi gender mana yang lebih sulit, female to male (FtM) atau male to female (MtF)?
Bisakah Mahkamah Agung menyatakan pemakzulan inkonstitusional? [duplikat]
Mengapa acar buah dan sayuran tidak menjadi bagian dari ransum (Eropa) selama Zaman Pelayaran?
MOC: Pertanyaan tentang penggunaan merek dagang LEGO
Kelompokkan daftar berdasarkan elemen daftar bertingkat [duplikat]
“ $\Sigma_1^1$-Peano aritmatika ”- menjabarkannya $\mathbb{N}$?
Apa hukumnya berperang di kota?
Hapus bagian dalam batas dalam type = color
Bulan memiliki kecepatan yang tepat untuk tidak menabrak bumi atau melarikan diri ke luar angkasa. Apa kemungkinannya?
Bisakah kita menghasilkan listrik dari badai pasir Mars? Jika demikian, bisakah itu digunakan untuk menggerakkan koloni?
Cara mendapatkan teks tertentu yang termasuk dalam kelas div
Jika pengawetan merusak Vitamin C, bagaimana Sauerkraut kaya akan Vitamin C?
Apakah menghina membunuh karakter gay saya di akhir buku saya?
Penggunaan kata Ibrani yang tidak umum untuk "bersinar" dalam Keluaran
Bagaimana cara melihat apakah sebuah array memiliki 2 atau lebih elemen yang sama? [duplikat]
The History of Werewolf Fashion, Bagian 1: 2000-an
Kelompok pemimpin pertama Musa Keluaran 18:21
"Empat puluh hari empat puluh malam"
Pilih Joomla dari pengelompokan DB DAN / ATAU
Berapa matriks logaritma operator turunan ( $\ln D$)? Apa peran operator ini di berbagai bidang matematika?
Bagaimana cara memasang kristal ke dukun tanpa menggunakan perekat?
Kubernetes - Apakah mungkin untuk menggabungkan Pod.yaml dan Service.yaml dalam satu file yaml (tetapi tanpa Deployment)
Bagaimana cara memantau batas kecepatan di jalan raya pada abad pertengahan? [duplikat]
Mengambil nilai href dari bidang Tautan item Tautan di scriban [duplikat]
Menyelami lebih dalam insiden keamanan Mei 2019: umpan balik entri blog
Studi kasus: apa yang diperlukan untuk merumuskan dan membuktikan argumen objek kecil Quillen di ZFC?
Prinsip refleksi vs alam semesta
Regex_search c++
winforms C # .NET - Cara Meningkatkan Kinerja kode saya saat menggunakan loop (for, foreach, dll…) [ditutup]
"Mereka tidak menimbulkan rasa bersalah dan mati"
Cara terbersih untuk menggunakan BeginTransaction menggunakan coba tangkap
java: hitung semua kunci dan nilai yang berbeda di Map <String, Set <String>> [duplikat]
Bagaimana cara membuat daftar pekerjaan k8s saya dengan LabelSelector yang kompleks menurut client-go?
Puzzle geser 3 x 2
nginx proxy ke Tomcat dengan SSL
Apakah saya harus membuat aplikasi saya menjadi open source jika saya menggunakan data api yang tidak dimodifikasi yang dilisensikan di bawah CC-BY-SA 4.0
Dapatkah pohon Stern-Brocot digunakan untuk konvergensi yang lebih baik $2^m/3^n$?
Buktikan barisan $\{a_n\}_n$didefinisikan oleh $a_1=-\frac14$dan $-a_{n+1}=\frac{a_na_{n+1}+4}4$konvergen dan tentukan limitnya.
Bagaimana cara menghapus cincin Saturnus?
Mungkinkah Uranus memiliki permukaan yang kokoh karena komposisi internalnya dan kurangnya panas internal?
Efek Wilson: Seberapa "dalam" bintik matahari?
Apa itu bom Ellerman dan bagaimana kita bisa mengidentifikasinya?
Apakah ada posisi pasangan paksa ganda?
Seberapa besar kode QR harus ada di atap saya agar satelit dapat memindainya dengan resolusi yang diizinkan hari ini?
Mengenai penasihat PhD yang menolak mahasiswa karena masalah kesehatan
Apa hambatan terbesar untuk mendapatkan RL dalam produksi?
Keikutsertaan uji alfa untuk editor Stacks baru
Minta izin [awalan] [infiks] [akhiran]. Apa [keseluruhan]?
Apa cara yang tepat untuk menutup Soket C # di .NET Core 3.1?
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
5 Teknik Menulis Kreatif Yang Menghasilkan Artikel Menarik
Chatbot untuk Kontrol Aset
Chatbot untuk Kontrol Aset
Diam
Diam
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Mempercayai Naluri Pertama Anda dalam Suatu Hubungan adalah Penting
Apa yang kami bangun di tahun 2020
Apa yang kami bangun di tahun 2020
Membuat penekanan kesalahan Arus lebih spesifik
Membuat penekanan kesalahan Arus lebih spesifik
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Bahasa Pemrograman Teratas untuk Insinyur AI pada tahun 2020
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Alasan Memilih PyTorch untuk Pembelajaran Mendalam
Samantha Lazar
Samantha Lazar
Pusaran Tahun
Pusaran Tahun
Undangan
Undangan
Dua Repositori Python untuk Visualisasi Teks
Dua Repositori Python untuk Visualisasi Teks
Memanfaatkannya: Desain UX Aplikasi Hibrid
Memanfaatkannya: Desain UX Aplikasi Hibrid
Pemberitahuan &amp; Alarm di Flutter
Pemberitahuan & Alarm di Flutter
6 Hal yang Saya Pelajari Dari Brendon Burchard
6 Hal yang Saya Pelajari Dari Brendon Burchard
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Orang yang Sangat Produktif Memiliki Ritualistik Rutin Pagi Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Lakukan Hal yang Paling Penting bagi Anda pada Siang Hari
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
Mengapa Anda Tidak Harus Mengambil Sesuatu Secara Pribadi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
5 Kesamaan yang Dimiliki oleh Orang Berprestasi Tinggi
Halloween di Spectrum
Halloween di Spectrum
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Seorang Dewasa Autis, Dan Saya Benci Halloween
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Saya Tidak Pernah Berpikir Saya Akan Mengangguk untuk Menyetujui Kesopanan George W. Bush
Munculnya Keuangan Terdesentralisasi
Munculnya Keuangan Terdesentralisasi
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
Memvisualisasikan pertumbuhan eksplosif DeFi pada tahun 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved