Aktualizacja analizy niewrażliwości Koa.js

Nov 26 2022
Nie tak dawno temu pisałem o podatności, która dotknęła Koa.js w 2018 roku.

Nie tak dawno temu pisałem o podatności , która dotknęła Koa.js w 2018 roku. Byłem sfrustrowany, że musiałem uporać się z problemem z 2018 roku, kiedy data była 2022, a korzystałem z najnowszej wersji Koa. Minęły 4 lata. To długi czas. Na pewno problem już nie istnieje!? Było i nie było jednocześnie. To znaczy, że jednocześnie się myliłem i miałem rację. Oto aktualizacja poprzedniego postu, aby powiedzieć, jak:

  • Niesłusznie oskarżyłem Sonatype i Dependency Track o to, że w konkretnych przypadkach nie operują informacjami o wersji
  • Mogę mieć rację i jednocześnie się mylić co do luki w zabezpieczeniach

Indeks OSS zawiera informacje o wersji

Jeśli czytałeś mój poprzedni post, prawdopodobnie pamiętasz, że doszedłem do wniosku, że problem mnie nie dotyczy. Dobra wiadomość jest taka, że ​​miałem rację. Zła wiadomość jest taka, że ​​niesłusznie oskarżyłem Sonatype o brak numerów wersji w danych dostarczonych przez OSS Index do pracy z Dependency Track. Okazuje się, że mają informacje. Po prostu nie było to widoczne tam, gdzie spodziewałem się, że powinno być widoczne. Zobacz poniższy zrzut ekranu zrobiony 22.11.2022.

Brak informacji o wersjach, których dotyczy problem

Jest całkiem prawdopodobne, że Dependency Track (DT) nie działa dokładnie z tym, co jest wyświetlane na powyższej stronie, ale nie chciało mi się sprawdzać, jak wyglądały dane pobierane przez DT z indeksu OSS. DT właśnie pokazał link do OSS Index, gdzie mogłem dowiedzieć się więcej. Kliknąłem i trafiłem na tę stronę.
Firma Sonatype zwróciła mi dzisiaj uwagę, że dostępne są numery wersji; Muszę szukać gdzie indziej. Rzeczywiście, jeśli zalogujesz się na swoje konto i wyszukasz Koa lub klikniesz przycisk „Zobacz szczegóły koa” na powyższym zrzucie ekranu, możesz go znaleźć. Zobacz zrzut ekranu poniżej.

Koa według wersji i podstawowego licznika luk w zabezpieczeniach

Więc myliłem się. Sonatype ma informacje w bazie danych. Problem jest więc z warstwą prezentacji. Byłoby lepiej, gdyby wersje, których dotyczy problem, były wymienione na stronie, na której omawiana jest luka, abyśmy mogli zobaczyć i zweryfikować w razie potrzeby.

Niesłusznie oskarżyłem Sonatype OSS Index o brak informacji o wersji. Niesłusznie oskarżyłem także Dependency Track o gotowość do raportowania wyłącznie na podstawie nazwy zależności, jeśli informacje o wersji były niedostępne. (Nadal muszę się dowiedzieć, czy to drugie jest prawdziwe, czy fałszywe, nie sprawdzałem.)

Nie poddawaj się jeszcze! Bardziej ekscytujące kwestie do omówienia to rzeczywista luka w zabezpieczeniach i (miejmy nadzieję) nadchodzące zmiany w raporcie o lukach w OSS Index. Zacznijmy od podatności.

Skrypty między witrynami

Sonatype przypisał XSS Koa w oparciu o poniższy proces myślowy.

Koa to podmiot, który zapisuje adres URL do odpowiedzi HTML, a nie programista korzystający z Koa

Zdecydowanie rozsądne jest oczekiwanie, że programista sprawdzi poprawność podanego adresu URL, prawdopodobnie na podstawie listy dozwolonych, aby zapobiec otwartemu przekierowaniu, a nie Koa, ponieważ Koa nie miałby pojęcia, które adresy URL chcesz zezwolić, a nie. Jednak jako programista nie sądzę, żebym musiał się martwić o oczyszczanie XSS dla adresu URL, który przekazuję do metody redirect() .

Wydaje się, że Koa troszczy się o XSS w tym kontekście, ponieważ mają już tam kod, aby temu zapobiec, jednostka HTML kodująca adres URL podczas zapisywania go w kodzie HTML

Poniekąd się zgadzam. Nie zgadzam się z następującym np.

Nie sądzę, żebym musiał się martwić o wykonanie sanityzacji XSS dla adresu URL, który przekazuję do metody redirect()

Jeśli przekażesz prawidłowy, bezpieczny adres URL do metody przekierowania, którą podałeś (programista), nie musisz się martwić o XSS (oczywiście). Jeśli przekazujesz w całości lub częściowo dane dostarczone przez użytkownika, zawsze musisz się o to martwić, niezależnie od tego, czy jesteś programistą, czy specjalistą ds. bezpieczeństwa. Mimo to oczekiwanie, że Koa pomoże programiście, nie jest naciągane.

Pozwólcie, że podam doskonały przykład, który, mam nadzieję, pomoże zrozumieć, skąd pochodzę. W poniższym przykładzie przekazuję dane dostarczone przez użytkownika z powrotem do przeglądarki w treści odpowiedzi. Robię to bez sprawdzania poprawności, sanityzacji lub kodowania.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Pomyśl o tym, co i jak przekazuję do przeglądarki w treści odpowiedzi
  • Rozważ (i prawdopodobnie najlepiej kontrolować jawnie!) wartość nagłówka Content-Type dla odpowiedzi
  • Wiedz, że Koa domyślnie automatycznie dostosowuje wartość nagłówka Content-Type na podstawie wartości przekazanej do ctx.body. (Spróbuj na przykład przekazać aaai zobacz, jak to się zmieni)

Biorąc pod uwagę powyższy ctx.bodyprzykład „XSS”, wygląda na to, że obwiniamy Koa za wdrożenie określonych środków zapobiegających katastrofie podczas korzystania z domeny ctx.redirect(). Cytując ponownie Sonatype:

Koa wydaje się troszczyć o XSS w tym kontekście, ponieważ mają już tam kod.

Czy to oznacza, że ​​gdyby Koa nie dbał o XSS w tym kontekście, podobnie jak nie dbał (i nie powinien) o to, jeśli chodzi o ctx.body, nikt nie zgłosiłby tego jako luki w zabezpieczeniach XSS? To całkiem zabawne. Zauważyłem pewne podobieństwa z moją wcześniejszą analizą Formidable udokumentowaną tutaj i tutaj .

Powiedziawszy wszystko, co powiedziałem do tej pory, zdarza się, że XSS tam jest… i nie w tym samym czasie. Jak to możliwe? Prosty! Jest, ale nie możesz go wykorzystać, chyba że:

  1. Ofiara używa starej przeglądarki internetowej ORAZ
  2. Deweloper zaimplementował otwarte przekierowanie za pomocą ctx.redirect()AND
  3. Deweloper całkowicie ufa wszystkim danym dostarczonym przez użytkownika i przekazuje je dosłowniectx.redirect()

Strona raportu Sonatype mówiła, jak widać na dzisiejszym zrzucie ekranu, „Otwórz przekierowanie prowadzące do skryptów międzywitrynowych”. Mój poprzedni post zakwestionował część „otwórz przekierowanie”:

Przede wszystkim nie było otwartego przekierowania. Jest otwarty tylko wtedy, gdy go otworzysz, a różnica między dwoma PoC (oryginalnym i moim) wyraźnie to pokazuje.

Sonatype zgadza się również, że Koa nie ponosi odpowiedzialności za zapobieganie otwartym przekierowaniom. Ich zmartwieniem, moim zmartwieniem i głównym zmartwieniem wszystkich innych był XSS. Włączenie otwartego przekierowania było po prostu mylące. Jednocześnie nie było to technicznie nierozsądne, jak zobaczymy później. (Wpłynie to również na ocenę luk w zabezpieczeniach).

Jak wspomniano wcześniej, skuteczne wykorzystanie zachowania Koa wymaga otwartego przekierowania. Ale:

  • Koa nie ponosi odpowiedzialności za zapobieganie otwartym przekierowaniom (zgodnie z wcześniejszymi ustaleniami)
  • Koa nie uruchomi ctx.redirect()się bez zgody dewelopera
  • Koa nie zmusza programistów do korzystania z przekierowań

Jest więc jeszcze jedna warstwa ochrony: przypadki użycia. Jakie jest prawdopodobieństwo, że programista nie chciałby mieć kontroli nad tym, gdzie przeglądarka jest przekierowywana? Bardzo mało prawdopodobne. Oznacza to, że najprawdopodobniej programiści będą przekazywać dane kontrolowane przez użytkownika do ctx.redirect()dołączonego do innego fragmentu łańcucha. Tak więc najprawdopodobniej wydarzy się coś podobnego do poniższych przykładów:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Ocena podatności

Muszą być spełnione trzy (3) warunki, aby błąd można było wykorzystać, jak omówiono na końcu poprzedniej sekcji.

  • To, jaka wersja przeglądarki jest używana, zależy od użytkownika końcowego
  • Użycie metody przekierowania i sposób jej wykorzystania zależy od programisty

Należy również podkreślić, że wektorem ataku jest użycie metody przekierowania w sposób niezabezpieczony. Do udanej eksploatacji wymagany jest wektor ataku. Koa nie zapewnia wektora ataku; deweloper robi.

Skorelujmy to z definicją „luki w oprogramowaniu” podaną przez NIST:

https://csrc.nist.gov/glossary/term/software_vulnerability

Część, którą chciałbym podkreślić, to „można wykorzystać”. Weź Koa jako bibliotekę oprogramowania. Czy możesz to wykorzystać bez uprzedniego stworzenia wymaganego wektora ataku? Nie. Tak więc z perspektywy biblioteki oprogramowania Koa nie przedstawiono wektora ataku; bez tego eksploatacja jest niemożliwa. Gdybyśmy interpretowali tę definicję ściśle (co ja robię), nie moglibyśmy nazwać zachowania Koa luką w zabezpieczeniach.
Spróbujmy obliczyć wynik CVSS bez wektora ataku:

Obliczanie wyniku CVSS bez wektora ataku

Nie ma wyniku, jeśli nie ma wektora ataku. Powiedziałbym, że jest to zgodne z definicją luki w oprogramowaniu podaną przez NIST.
Poeksperymentujmy i stwórzmy wyimaginowany scenariusz, w którym istnieje wektor ataku.

Fikcyjny wektor ataku

Nadal istnieje kilka problemów, innych niż wyimaginowany wektor ataku. Złożoność ataku została ustawiona na Wysoka, ponieważ udana eksploatacja wymaga starej przeglądarki. Osoba atakująca musi przekonać ofiary do pobrania i zainstalowania starej przeglądarki.
W tym sensie wymagana jest interakcja użytkownika, mimo że podstawowe wskaźniki interakcji użytkownika tak naprawdę nie dotyczą tego. W tym scenariuszu to, czy wykorzystanie XSS wymaga interakcji użytkownika, zależy od tego, w jaki sposób aplikacja internetowa używa przekierowań, a nie od Koa. Warto również wspomnieć, że wstrzyknięty JavaScript nie działałby samodzielnie, ponieważ wymagał przede wszystkim interakcji użytkownika: kliknięcia łącza w odpowiedzi HTML.

Co więc możemy zrobić, aby wymusić ocenę podatności na to? Musimy coś wybrać. Myślenie życzeniowe, zakładając najgorsze, co wolisz. Jedno jest pewne, robisz obliczenia, których nie powinieneś robić w pierwszej kolejności, a wynik jest tak daleki od rzeczywistości, że nawet nie mogę znaleźć na to słów.

Następną ważną rzeczą są wskaźniki wpływu. Musisz wiedzieć, jaki wpływ ma aplikacja internetowa. Ale nie obliczamy oceny podatności aplikacji internetowej… Biorąc pod uwagę kontekst, ten XSS ma zerowy wpływ na Koa. Koa nie zajmuje się ani nie przetwarza samodzielnie informacji poufnych. Błąd nie ma wpływu na dostępność ani integralność. To pozostawia nam końcowy wynik 0,0, nawet po wymuszeniu wektora ataku w obliczeniach.

Pytanie brzmi: czy przedstawiamy fakty, czy fikcję?

Firma Sonatype zwróciła moją uwagę na oficjalne wytyczne dotyczące oceniania luk w bibliotekach oprogramowania , które zostały wydane w 2019 r. wraz z CVSSv3.1. Przyznam, że nie wiedziałem o tym, co jest zarówno dobre, jak i złe. Dobrze, bo zaowocowałoby to postem tyradowym, źle, bo może gdybym zobaczył to wcześniej, straciłbym całą nadzieję, zanim włożyłbym tyle wysiłku w wyjaśnienie, że to nie jest właściwy sposób. Co zatem mówią oficjalne wytyczne?

Oceniając wpływ luki w bibliotece… Analityk powinien ocenić rozsądnie najgorszy scenariusz implementacji. Jeśli to możliwe, informacje CVSS powinny wyszczególniać te założenia.

Odpowiedź jest więc taka, że ​​ocena podatności na zagrożenia jest oparta na fikcji.

Ponadto, co to jest „ rozsądny najgorszy scenariusz wdrożenia”? Gdybyśmy przeanalizowali wiele projektów wykorzystujących Koa i stwierdzili, że większość programistów zaimplementowała otwarte przekierowania przy użyciu ctx.redirect()metody Koa, rozsądne może być założenie najgorszego. Zrobiłem szybkie wyszukiwanie kodu w projektach JavaScript ctx.redirect(na GitHub. Otrzymałem 16 827 wyników kodu. Wyszukując context.redirect(otrzymałem 15 751 kodów wyników. Oznaczałoby to 32 578 wyników kodu do przeanalizowania. Niektóre z nich będą używać Koa, niektóre Express, a niektóre mogą być czymś innym. (Oczywiście kontekst można nazwać dowolną nazwą, nie tylko ctxlub context, więc może być jeszcze więcej kodu do przejrzenia).

Pytanie brzmi: czy przekazywanie danych dostarczonych przez użytkownika bezmyślnie w celu przekierowania jest tak powszechne? Przyjąłem półautomatyczne podejście do analizy, pisząc mały skrypt, aby sprawdzić wszystkie projekty pasujące do kryteriów wyszukiwania. Niestety, nie mogłem przekroczyć pierwszych 1000 trafień, ponieważ GitHub odrzucił kolejne żądania:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Na podstawie tego, co widziałem i biorąc pod uwagę to, co zostało omówione w następnej sekcji („Stara przeglądarka internetowa”), nie sądzę, aby zakładanie najgorszego scenariusza byłoby rozsądne. Nie w tym konkretnym przypadku.

Oficjalne wytyczne mówią również, że:

Podczas oceniania luki w danej implementacji przy użyciu biblioteki, której dotyczy problem, należy ponownie obliczyć ocenę dla tej konkretnej implementacji.

Jest to rozsądne i do pewnego stopnia łagodzi aspekt science-fiction sytuacji. W ten sposób ten problem z Koa, z oceną podatności 9,8, w naszym przypadku wyniósł 0,0.

Dobrą rzeczą jest to, że Sonatype zgodził się, że ocena podatności 9,8 była nieuzasadniona i są gotowi ją obniżyć. Doceniam to i pewnie wielu innych też.

Ponadto firma Sonatype powiedziała mi, że kiedy dodali ten problem do swojego systemu, uznali, że najlepiej będzie, jeśli ich klienci dowiedzą się o tej potencjalnie nieoczekiwanej sytuacji. Powiedzieli: „lepiej było zaalarmować niż zignorować to, co widzieliśmy i potencjalnie mieć negatywny wynik”. I oczywiście mieli rację.

Nigdy nie kwestionowałem, czy kwestie bezpieczeństwa powinny być komunikowane, czy nie. Tak, kwestie bezpieczeństwa muszą być widoczne. Martwi mnie sposób komunikowania tych problemów:

  • Czy właściwe jest nazywanie czegoś luką w zabezpieczeniach, czy raczej luką w zabezpieczeniach lub niebezpiecznym zachowaniem domyślnym i tak dalej?
  • Czy przypisana ocena podatności jest rozsądna?
  • Czy podano wystarczające szczegóły i kontekst?

Porozmawiajmy teraz trochę o starych przeglądarkach internetowych.

Stara przeglądarka internetowa

Bez dobrych ludzi z Sonatype nie pomyślałbym o starych przeglądarkach internetowych, prawdopodobnie nigdy więcej.

W przyszłości będę nadal nie brać pod uwagę starych przeglądarek. Przede wszystkim jest zbyt wiele rzeczy, o których należy pamiętać; Nie mogę się martwić o stare przeglądarki internetowe. Po drugie, ile lat ma ( nie klikaj w link, jeśli nie masz poczucia humoru! ) stara przeglądarka internetowa? Co tak naprawdę oznacza „stary”? Jeśli ktoś używa zaledwie ~ rocznej przeglądarki, jest całkiem prawdopodobne, że ma już znacznie większe problemy niż XSS.

Mimo to trochę pogrzebałem i znalazłem, że:

  • Google Chrome 48.0.2564.109 (64-bit) z 2016 roku (!) nie wyświetlał nawet treści odpowiedzi. Ponieważ problem z Koa został znaleziony w 2018 roku, pomyślałem, że cofnięcie się do 2016 roku powinno wystarczyć, ale okazało się, że tak nie jest.
  • Firefox 4.0 z 2011 roku wyświetlał treść odpowiedzi, ale wymagał od użytkowników kliknięcia łącza w celu wykonania ładunku JavaScript. (Oczywiście, że to link!)
  • Firefox 52.0 z 2017 roku, rok przed zgłoszeniem problemu Koa XSS, nie wyświetlał już treści odpowiedzi z ładunkiem JavaScript. Firefox właśnie zgłosił błąd „Błąd uszkodzonej zawartości” z powodu „naruszenia protokołu sieciowego”.

Koa 0.0.1 został wydany w 2013 roku, więc było kilka lat, kiedy problem mógł zostać wykorzystany. W tej chwili byłoby prawdopodobnie akceptowalne oflagowanie tego problemu (nadal bez oceny 9,8) aż do Koa 2.5.0 w 2018 roku. Jednak po tym nic nie usprawiedliwia niczego powyżej 1,0.

Podczas kopania znalazłem coś ciekawego na Wikipedii . Pozwolę sobie zacytować:

Firefox 15 został wydany 28 sierpnia 2012 r.… Firefox 15 wprowadził ciche aktualizacje, automatyczną aktualizację, która zaktualizuje Firefoksa do najnowszej wersji bez powiadamiania użytkownika, [65] funkcję, którą mają przeglądarki internetowe Google Chrome i Internet Explorer 8 i nowsze już wdrożone

Tak więc wszystkie główne przeglądarki internetowe miały funkcję automatycznej aktualizacji przed wydaniem pierwszej wersji Koa, co oznacza, że ​​istnieje prawdopodobieństwo, że większość użytkowników korzystała z aktualnej przeglądarki internetowej. Zobaczmy stan w czasie „wielkiego wybuchu”: 2013 r.

  • Firefox 15 : zwrócił komunikat o błędzie „Błąd uszkodzonej zawartości”, co oznacza, że ​​treść odpowiedzi nie została wyświetlona użytkownikowi.
  • Chrome 24.0.1312 (WebKit 537.17) : nie wyświetlał żadnej treści odpowiedzi. Patrząc na kartę sieci w narzędziach programistycznych, prawie nic nie było widać, więc musiałem uruchomić Wireshark, aby sprawdzić, czy przeglądarka wykonała żądanie w pierwszej kolejności. W Wireshark było widać, że Chrome skontaktował się z moją usługą PoC i otrzymał odpowiedź z ładunkiem JavaScript. Nie renderował treści odpowiedzi. Nawet lepiej, nic się nie stało.
  • Internet Explorer 11 (11.0.9600.19180) : Pobrał odpowiedź z mojej usługi PoC, którą zweryfikowałem za pomocą Wireshark. Nie pokazał użytkownikowi treści odpowiedzi. Powrócił z klasyczną, wbudowaną stroną błędu, która mówi: „Nie można wyświetlić tej strony”.

Po przeprowadzeniu powyższych badań wróćmy na chwilę do cytatu z Sonatype:

Wydaje się, że Koa troszczy się o XSS w tym kontekście, ponieważ mają już tam kod, aby temu zapobiec, jednostka HTML kodująca adres URL podczas zapisywania go w kodzie HTML

Chociaż to stwierdzenie jest poprawne, fakt, że żadna z głównych przeglądarek nie pozwalała na wykorzystanie do czasu wydania pierwszej wersji Koa, cytowane sugeruje coś interesującego, coś innego niż to, co zdanie chciałoby sugerować. Proszę zauważyć, że zaraz napiszę spekulacje, ponieważ nie mogę dokładnie wiedzieć, jak myśleli programiści Koa. Mogę sobie łatwo wyobrazić, że programiści przetestowali omawiane zachowanie przy użyciu aktualnej przeglądarki internetowej. Być może stwierdzili, że kodowanie HTML było odpowiednie, ponieważ niemożliwe było wykonanie wstrzykniętego kodu JavaScript z hrefwłaściwościaetykietka. Rodzi to poważne pytanie. Po spędzeniu ostatnich pięciu lat więcej po stronie tworzenia oprogramowania, dotyczy to również mnie: jako programista, jeśli mam zamiar stworzyć nową technologię internetową dla strony zaplecza, czy powinienem przejmować się starymi przeglądarkami internetowymi? A jeśli powinienem, jakie jest oficjalne zalecenie społeczności zajmującej się bezpieczeństwem dotyczące tego, jak daleko w czasie muszę rozważyć stare przeglądarki internetowe? Czy nie powinniśmy wziąć pod uwagę, że najlepszą praktyką w zakresie bezpieczeństwa dla użytkowników końcowych jest aktualizowanie ich przeglądarek, a funkcja automatycznej aktualizacji również ma w tym pomóc? Ponadto, jeśli oczekujemy, że programiści będą pamiętać i testować stare przeglądarki, czy nie możemy oczekiwać, że specjaliści ds. ”? Byłoby to po prostu sprawiedliwe.

Jedno jest pewne, od lat nie ma się czym martwić…

Nowoczesna przeglądarka

W mojej analizie, korzystając z przeglądarki internetowej, sprawdziłem treść odpowiedzi i stwierdziłem, że jest pusta. Nie sprawdzałem, czy odpowiedź przesłana drutem miała treść. Okazuje się, że tylko Google Chrome całkowicie zignorował treść odpowiedzi; dlatego się nie pokazał. To było dla mnie wystarczająco dobre. Rozsądnie, muszę dodać.

Od tego czasu przyglądałem się odpowiedziom mojej testowej usługi internetowej przy użyciu najnowszej wersji Koa. Poniżej widzimy, że treść odpowiedzi HTML zawierała wstrzyknięty kod JavaScript:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Nadchodzące zmiany

Poniżej znajduje się lista aktualizacji, które firma Sonatype planuje wdrożyć w związku z tym problemem:

  • Aktualizacja wiersza Podsumowanie/Tytuł w celu wyeliminowania nieporozumień (już miała miejsce)
  • Zmniejszenie oceny podatności do 4,7 (już się stało)
  • Wspomnij, że lukę można wykorzystać tylko wtedy, gdy użytkownik korzysta ze starszej przeglądarki

Dodatkowe zmiany, które chciałbym zobaczyć

Oprócz zmian wspomnianych w poprzedniej sekcji, kilka rzeczy można jeszcze ulepszyć. To są:

  • Dalsze obniżenie oceny podatności, szczególnie w przypadku wersji Koa wydanych po 2018 roku.
  • W tym numer wersji co najmniej głównych przeglądarek internetowych i daty ich wydania zawarte w raporcie w odniesieniu do „starszych przeglądarek”. Pomogłoby to znacznie każdemu, kto „ocenił lukę w danej implementacji przy użyciu biblioteki, której dotyczy problem”. Na przykład, gdybym zobaczył, że użytkownik musi korzystać z przeglądarki z 2011 roku, w ciągu sekundy oznaczyłbym problem jako „nie dotyczy” w SCA. To dużo zaoszczędzonego czasu.
  • Wersje Koa, których dotyczy luka, mają być wymienione na stronie z luką .

Nawiasem mówiąc, Sonatype wspomniał również, że ma kilka fajnych testów w swojej ofercie komercyjnej, które na przykład przeprowadzają rzeczywiste kontrole na poziomie kodu, aby sprawdzić, czy zgłaszane luki miały wpływ na aplikację. Brzmi to schludnie, a biorąc pod uwagę science-fiction charakter sposobu, w jaki obliczane są oceny luk w bibliotekach, tego rodzaju kontrole są niezbędne, aby zmniejszyć obciążenie zespołów inżynierskich, zwłaszcza jeśli sytuacja będzie się utrzymywać w ten sposób.

Wniosek

To prawie wszystkie aktualizacje, które mam. Cieszę się, że skontaktowałem się z Sonatype, ponieważ są bardzo profesjonalni i przyjaźni. Praca z nimi nad tym była przyjemnością.

Jeśli chodzi o XSS w Koa: to coś, czym nikt z nas nie powinien się martwić od kilku lat.

Struktury danych w JavaScript
Struktury danych w JavaScript
Czym w ogóle jest lista połączona? [Część 1]
Czym w ogóle jest lista połączona? [Część 1]
Więc powiedz mi o połączonych listach
Więc powiedz mi o połączonych listach
Kiedy wszystko inne zawiedzie, bądź kreatywny
Kiedy wszystko inne zawiedzie, bądź kreatywny
Mój statek kosmiczny na końcu świata
Mój statek kosmiczny na końcu świata
Lasagne z dynią i jarmużem
Lasagne z dynią i jarmużem
Nie bojąc się porażki, Walker Buehler spokojnie odnosi kolejne sukcesy w NLCS Game 6
Nie bojąc się porażki, Walker Buehler spokojnie odnosi kolejne sukcesy w NLCS Game 6
Cóż z Kell: przyjacielu, oczyść swoje jelita!
Cóż z Kell: przyjacielu, oczyść swoje jelita!
Mój sąsiad
Mój sąsiad
Błyszczący
Błyszczący
Kreatywność jako kompas
Kreatywność jako kompas
Wpływ strachu i żalu na kreatywność
Wpływ strachu i żalu na kreatywność
Wpływ samotności na kreatywność
Wpływ samotności na kreatywność
Ale co, jeśli nie mam dokąd wrócić?
Ale co, jeśli nie mam dokąd wrócić?
Niewidzialny smutek
Niewidzialny smutek
Wreszcie rzuciłem palenie
Wreszcie rzuciłem palenie
Nie czuję się już winny, że nie jestem produktywny
Nie czuję się już winny, że nie jestem produktywny
Ameryka zawsze była brutalną, samotną pustynią
Ameryka zawsze była brutalną, samotną pustynią
Krótka recenzja dwóch scen z „Borata 2”
Krótka recenzja dwóch scen z „Borata 2”
Twoje dziecko transpłciowe potrzebuje terapeuty - Ty też
Twoje dziecko transpłciowe potrzebuje terapeuty - Ty też
Lekcje życia dzięki uprzejmości My Transgender Son
Lekcje życia dzięki uprzejmości My Transgender Son
Nie pozwolę, by zmartwienia miały całą moc
Nie pozwolę, by zmartwienia miały całą moc
Drażniące maski na twarz, moda i obawy przed COVID-19
Drażniące maski na twarz, moda i obawy przed COVID-19
Samsung Galaxy Note 20 Ultra: właściwy telefon, zły czas
Samsung Galaxy Note 20 Ultra: właściwy telefon, zły czas
Paul McCartney: Cierpienie sprawiło, że 1 piosenka z „białego albumu” Beatlesów była dobra
Piosenka Beatlesów, którą Peter Asher nazwał „najwspanialszą piosenką, jaką kiedykolwiek słyszałem”
Billy Crystal i Robin Williams zareklamowali całą swoją kameę „Przyjaciele”.
Najlepszy czas na odwiedzenie miejsca kręcenia „Domku na prerii”.
Jana Duggar: Wszystko, co powiedziała o miłości i jej 5-letnie okno na znalezienie „jednego”
Sam Heughan dokładnie wie, co weźmie z zestawu „Outlander” - „Czuję się, jakbym był Jamiem, kiedy je zakładam”
Ringo Starr odmawia grania z kliknięciami, co czyni go lepszym perkusistą
Jak umarł John Ritter: spojrzenie wstecz na śmierć aktora „Three's Company”.
„My Way” Franka Sinatry nie był tak duży jak jego „Old MacDonald”
Paul McCartney powiedział, że miał „szczęście”, że nigdy nie brał heroiny 
Dolly Parton znalazła Boga w opuszczonym kościele Lokalni nastolatkowie wykorzystywani do seksu
Paul McCartney był tak zestresowany jedynym odwołanym koncertem The Beatles, że zwymiotował
„Nie śpij w metrze” zdumiona Petula Clark
Christopher Nolan kiedyś żałował, że przeczytał scenariusz „Pulp Fiction” Quentina Tarantino
Judy Norton z „The Waltons” zdała sobie sprawę, że czasami była „bachorem” podczas kręcenia serialu
Jak Paul McCartney zareagował na tytuł utworu The Beatles „Lucy in the Sky with Diamonds”
Paul McCartney powiedział, że „Sierż. Pepper' Song nie jest o heroinie
Petula Clark powiedziała, że ​​„Downtown” ujawniła desperacką piosenkę
„Chłopiec poznaje świat”: dlaczego pan Turner zniknął z serialu?
Paul McCartney wyobrażał sobie, jak jego mama zareagowałaby na jego sukces
Dlaczego Paul McCartney był „strzeżony” przed mówieniem prawdy o The Beatles
Brad Pitt i Harrison Ford musieli wymyślić „The Devil's Own” w locie, kiedy „scenariusz został wyrzucony”
Nicole Kidman pokochała tę 1 atrakcyjną funkcję, którą Michael Keaton i Val Kilmer udostępnili jako Batman
Porady Jimmy'ego Page'a dla młodych muzyków pochodzą prosto z Podręcznika mówcy motywacyjnego
Menedżer Led Zeppelin, Peter Grant, zobaczył fałszywy zespół, który zdobył nagrodę Grammy, zanim zrobił to Zep
Dolly Parton pomogła swojej „inwalidzkiej” babci, gdy żadne inne wnuki by tego nie zrobiły - ona też zrobiła jej psikusa
„Ciekawy przypadek Natalii Grace”: gdzie są dziś Nataila, Kristine i Michael Barnett?
George Harrison zdenerwował się, że jego teksty do piosenki „Hurdy Gurdy Man” Donovana nie zostały użyte
MIA zaatakowała kiedyś utwór „Give Peace a Chance” Johna Lennona
Gene Simmons mówi, że komiksy KISS mogą potencjalnie „odtworzyć ludzkość”.
Spojrzenie wstecz na rolę Buddy'ego Ebsena w „The Andy Griffith Show”
John Lennon powiedział 1 linijkę w „Revolution” The Beatles skomentował policję
Rolling Stones: Keith Richards został wkurzony przez 1 grupę fanów muzyki, którzy skrytykowali zespół
Paul McCartney podzielił się tym, co zrobiło na nim największe wrażenie w Johnie Lennonie, kiedy spotkali się po raz pierwszy
John Lennon powiedział, że piosenka B-52 brzmiała „jak muzyka Yoko”
„Sympathy for the Devil” The Rolling Stones pierwotnie brzmiało jak muzyka brazylijska
Stevie Nicks „przyczepiła się” do 1 piosenki Joni Mitchell, kiedy poczuła, że ​​jej kariera muzyczna zawodzi
David Bowie prawie napisał musical składający się z fałszywych piosenek Boba Dylana
Taylor Sheridan właśnie dodał jedną ze swoich ulubionych gwiazd „Yellowstone” do obsady „Lawmen: Bass Reeves”
Donovan porównał jedną ze swoich piosenek do „Lucy in the Sky with Diamonds” The Beatles
Paul McCartney powiedział, że „When I'm Sixty-Four” The Beatles to żart
Winona Ryder kiedyś udostępniła wszystkie swoje postacie jako „brzydką dziewczynę” na początku swojej kariery
Jak Melissa Gilbert uratowała ptaka, łapiąc go pod koszulą nocną
Piosenka wczesnych Beatlesów, która była jednym z „najbardziej ekscytujących występów” zespołu, według Insidera Fab Four
John Lennon powiedział, dlaczego „The Tonight Show” był „najbardziej żenującym” programem, w jakim kiedykolwiek był
Kariera aktorska Bradleya Coopera była zagrożona, kiedy pracował z Julią Roberts w tym projekcie
Quentin Tarantino podzielił się kiedyś najciekawszą postacią, jaką kiedykolwiek napisał, w „Pulp Fiction”
Prince pracował nad piosenką Steviego Nicksa przez godzinę i zarobił połowę tantiem 
Czy zjadłbyś Casu Marzu, nielegalny ser z robakami?
5 wymownych i trwałych cytatów Mayi Angelou
Rycerz Mieczy: znaczenie i interpretacja karty Tarota
Może możesz być za chudy? Poznaj najchudszy drapacz chmur na świecie
Chief Plenty Coups: Wizjonerski przywódca i obrońca Narodu Wron
Inspirująca, tragiczna historia Sophie Scholl, studentki, która przeciwstawiła się Hitlerowi
Który grejpfrut jest najsłodszy — biały, czerwony czy różowy?
Prypeć: ukraińskie miasto duchów w cieniu Czarnobyla
Anioł nr 222: Odsłonięcie symbolicznego znaczenia życia i miłości
Czym jest ludobójstwo i czy Rosja popełnia je na Ukrainie?
Myślenie obiektywne i subiektywne oraz zastosowania
Where in the World Are You? Take our GeoGuesser Quiz
Czy nowo zmierzony bozon W może złamać model standardowy?
Elon Musk jest właścicielem Twittera. Co może pójść nie tak?
Susza, zmiany klimatyczne zagrażają przyszłości energetyki wodnej w USA
Jaka jest różnica między drożdżami błyskawicznymi a aktywnymi suchymi?
Dlaczego duże firmy, takie jak Tesla i Amazon, dzielą akcje
Martha Mitchell: Kobieta, która za dużo wiedziała o Watergate
The Secrets of Airline Travel Quiz
Najwyższa góra w Układzie Słonecznym jest znacznie wyższa niż Everest
Spojrzenie na najbardziej niezapomniane wesela w Białym Domu
Czym jest trucizna pigułka i czy Twitter utrzyma Elona Muska w Bay?
Hagfish: ta przypominająca węgorz śluzowa maszyna to koszmar drapieżnika
Nie wyrzucaj tych kartonowych tub! 10 sposobów na ich ponowne wykorzystanie
Znaczenie tatuaży ze średnikami: symbol odporności i solidarności
Atlas Moth to Behe-moth, plus 5 innych faktów
Czy wirtualne elektrownie mogą pomóc ustabilizować amerykańską sieć energetyczną?
Co to jest rozmazywanie i czy może oczyścić przestrzeń z negatywnej energii?
Czym jest wilgotność i jak wpływa ona na temperaturę?
Dlaczego Sriracha jest ulubionym gorącym sosem wszystkich?
Modliszka z orchidei wygląda jak kwiat, „żądli” jak pszczoła
Mała grupa Samarytan nadal praktykuje swoją starożytną religię
Czy gotowanie indukcyjne jest lepsze niż gazowe czy elektryczne?
Papużki faliste są super towarzyskie i robią świetne zwierzęta
Skąd pochodzi fraza „On the Lam”?
1500 $ Dzisiaj kupuje przepustkę Yellowstone za 2172
Biennale w Wenecji to „Olimpiada Sztuki”
Wielkie Ucieczki! 5 dzikich zwierząt, które odpadły i poszły w biegu
Kim był Poncjusz Piłat przed i po ukrzyżowaniu Jezusa?
Ukraińscy uchodźcy mogą nigdy nie wrócić do domu, nawet po zakończeniu wojny
Czy powinieneś używać Facebooka czy Google do logowania się do innych witryn?
Czy musisz mieć pozytywne nastawienie, aby pokonać raka?
Dlaczego w USA nie ma „bezzwrotnego” systemu rozliczania podatków?
Ketanji Brown Jackson mianowany sędzią Sądu Najwyższego
Jak pozbyć się much drenażowych?
Niektórzy fizycy i filozofowie twierdzą, że czas może nie istnieć
Przekaż swoje włosy, aby pomóc utrzymać naszą wodę w czystości
Jaka jest różnica między demokracją a republiką?
McLaren po prostu nie może przestać zwalniać kierowców IndyCar, wręcz to uwielbia
Mężczyzna z Luizjany wysłał mrożące krew w żyłach ostrzeżenie przed szaleństwem przestępczym
Dziki powód Los młodego bandyty w procesie YSL Rico potrwa dłużej, niż oczekiwano
Podsumowanie Niedźwiedzia: Czy Marcus jest najmilszym, najłagodniejszym i najszczerszym mężczyzną w Chicago?
Sztuczna inteligencja ekshumuje głosy zmarłych gwiazd, aby przeczytać Ci pliki PDF lub cokolwiek innego
Złe wieści dla Fani Willis i jej sprawy dotyczącej ingerencji w wybory Trumpa
Spędziłem weekend z grą zdalną i grami w chmurze i było naprawdę niesamowicie
Niektórzy fani Mortal Kombat martwią się, że najnowsza gra już nie żyje, ale może być bardziej skomplikowana
MaXXXine to pulsująca hollywoodzka opowieść, która wydaje się zbyt oswojona
Czy Simone Biles uda się przygotować SZA na igrzyska olimpijskie?
Teraz możesz posiadać najbardziej kultowe bikini w historii science fiction
Niedobrze: huragan Beryl to najwcześniejsza burza kategorii 5 w zapisanej historii
Straszne turbulencje powodują, że mężczyzna wlatuje do kosza na śmieci na wirusowym wideo
Obejrzyj Motorweek testujący Sterlinga, zapomniane brytyjskie podejście do legendy Acury
Powstrzymaj kota od drapania mebli dzięki tym popartym naukowo strategiom
Sonda: Demokraci podążają śladem Trumpa, czy zastąpią Bidena Bidenem, Bidenem czy Bidenem
Popularny raper YouTube i słynny czarodziej TikTok biorą udział w wirusowym meczu szczekania
Xbox ma poważną awarię [Aktualizacja: znowu działa]
Cate Blanchett wyjaśnia, dlaczego wystąpiła w filmie Borderlands
Pamiętasz, jak holenderska linia lotnicza wrzuciła 440 wiewiórek do ogromnej niszczarki?
Land Rover Defender Octa to bestia o mocy 626 KM, która nadejdzie dla Raptorów Świata
Kierowcy udaje się przewrócić Teslę Cybertruck, nie wymaga samodzielnego prowadzenia
Marvel's Black Panther Show będzie najważniejszym serialem animowanym w historii
Deadpool i Wolverine w końcu odblokują filmy Marvela o X-Menach
Eddie Murphy opowiada o wszystkim podczas swojej wycieczki prasowej „Gliniarz z Beverly Hills: Axel F”.
Jednym z wielu odrzuconych pomysłów Ryana Reynoldsa na Deadpool 3 była niezależna podróż objazdowa
RIP Robert Towne, nagrodzony Oscarem scenarzysta Chinatown
Siostrzenica Luthera Vandrossa ma coś do powiedzenia na temat jego rozdzierającego serce wywiadu z Oprah Winfrey po udarze mózgu
BMW nie chce, aby samochody spalone na bagażniku trafiały na sprzedaż
Oto dlaczego Eddie Murphy został „zmuszony” do zmiany swojego słynnego śmiechu
My Elden Ring: Shadow Of The Erdtree Przywołania gracza, rankingowe
Zrób sobie przysługę i idź obejrzeć najlepsze wydarzenie speedrunningowe roku
Boeing chciałby, aby wszyscy przestali twierdzić, że test Starlinera na ISS zakończył się fiaskiem
Dyrektor Twistera nie dostał ostrzeżenia o tornadzie w Twisterach
Ridley Scott „nie był zadowolony”, gdy rozdano sequele Obcego i Łowcy androidów
Histeria wywołana piłą łańcuchową Cate Blanchett podczas blokady doprowadziła ją na Borderlands
Sąd Najwyższy wysłucha argumentów na temat tego, czy prawo stanu Teksas może określić Twoje nawyki pornograficzne
Przygoda Tiany na Bayou przerywa 87 lat dziwnego kanonu księżniczek Disneya
Lionsgate daje sobie rok na zmianę tytułu Now You See Me 3 na Now You Three Me
Papież Franciszek zatwierdził pierwszego świętego Tysiąclecia
Biden krytykuje orzeczenie Sądu Najwyższego o immunitecie Trumpa i zwraca uwagę na niebezpieczeństwo niekontrolowanej władzy
Czy chcesz Corvettę, ale chciałbyś, żeby wyglądała okropnie? Chłopcze, mamy dla ciebie samochód
Czy za 9800 dolarów „zapakowałbyś ich” do tej siedmiomiejscowej Toyoty RAV4 z 2008 roku?
Furgonetka dostawcza Amazon zapala się w wyniku ognistej eksplozji podczas letnich upałów w Houston
Nowe błędy oprogramowania Open Source sprawiają, że tysiące aplikacji na iOS jest podatnych na przechwycenie
Błagam graczy Final Fantasy 14, aby po prostu przeczytali dialog w Dawntrail
Żona Zełenskiego tak naprawdę nie kupiła Bugatti Tourbillon pomimo twierdzeń rosyjskiej propagandy
Dwoje palestyńskich dzieci doznało „traumy” po tym, jak kobieta rzekomo próbowała je utopić
Charly Reynolds ujawnia niedawną operację strun głosowych: „Miałem problemy ze śpiewaniem”
Kim jest żona Vince'a Vaughna? Wszystko o Kyli Weber
Marvel faktycznie publikuje fikcyjne wspomnienie Scotta Langa z „Ant-Man and the Wasp: Quantumania”
Kim jest żona Jasona Kennedy'ego? Wszystko o Lauren Scruggs Kennedy
Animal Rescue ostrzega „Nigdy nie farbuj ptaka” po tym, jak „walczący” różowy gołąb został znaleziony błąkający się po Nowym Jorku
Kim jest żona Jaya Shetty’ego? Wszystko o Radhi Devlukii-Shetty
Wszystko o relacjach Zoë Kravitz z rodzicami Lennym Kravitzem i Lisą Bonet
Córka Kevina Jonasa, Alena, wygląda na dorosłą na zdjęciu urodzinowym: „9 lat nie wydaje się prawdziwe”
Kobieta, która zmarła 37 lat temu po tym, jak została znaleziona nieprzytomna na autostradzie w stanie Georgia, została zidentyfikowana jako zaginiona mama 4-latki
Danielle Moné Truitt z „Prawa i porządku” uważa, że ​​fani zostali „oszukani; Autorstwa Stablera i Bensona Kiss Tease
Kim jest narzeczony JWoww? Wszystko o Zacku Claytonie Carpinello
Profesor Purdue University aresztowany za rzekomy handel metamfetaminą i proponowanie kobietom usług seksualnych
Eric i Jessie James Decker zawsze „całują się nawzajem” - a dzieciom się to nie podoba
Muni Long mówi, że jeszcze nie „przetworzyła”, zdobywając 3 nominacje Grammy: „Wszystko idzie tak szybko”
TJ Watt chce, aby Tom Brady i brat JJ zostali razem wprowadzeni do Galerii Sław NFL
Kupujący zgadzają się, że ta zamiatarka Black + Decker jest „znacznie szybsza” niż tradycyjna miotła i jest w sprzedaży
Paul McCartney o byciu „romantycznym” z żoną Nancy Shevell: „Całkowicie przesadzam z walentynkami”
Gwyneth Paltrow ujawnia sukienkę na randkę, którą zachowała ze swojego związku z Bradem Pittem 
W tej tajnej sekcji wyprzedaży w szafie Nordstrom kryje się ponad 2500 stylów na zimną pogodę — od 6 USD
Historia randek Avy Gardner: spojrzenie wstecz na małżeństwa i romanse ikony Hollywood
Margaret Josephs broni „niszczycielskiego” wyboru Melissy i Joe Gorga, aby pominąć ślub Teresy Giudice
Chelsea Houska z „Nastoletniej mamy” dzieli się płaczliwymi reakcjami na odnowienie 2. sezonu programu HGTV: „Tak wiele znaczy”
Matthew McConaughey ujawnia, że ​​wróżka kazała mu zagrać w filmie „Jak stracić faceta w 10 dni”
Kim jest żona Johna Cleese'a? Wszystko o Jennifer Wade
Heather Rae i Tarek El Moussa witają swojego synka: „Nasze serca są takie szczęśliwe”
Chloe Cherry z „Euphorii” oskarżona o kradzież za rzekomą kradzież bluzki za 28 dolarów
Kupujący Amazon mówią, że śpią „jak rozpieszczone dziecko” dzięki tym jedwabnym poszewkom na poduszki, które kosztują zaledwie 10 USD
Kobieta znaleziona żywa i „z trudem łapiąc powietrze” w worku na zwłoki w domu pogrzebowym w Iowa
Bob Barker, wieloletni gospodarz programu „The Price Is Right”, zmarł w wieku 99 lat: „Najlepszy MC na świecie”
Znaleziono ciała prawdopodobnie należące do raperów zaginionych od czasu odwołania koncertu: „Nie zasłużyli na to”
Aktorzy serialu Laguna Beach: Gdzie są teraz?
Susan Lucci ze łzami w oczach wspomina zmarłego męża, kiedy przyznaje, że „nie jest gotowa” na randki
Tom Girardi uczestniczy w rozprawie, aby określić, czy jest on uprawniony do stanięcia przed sądem pod zarzutem oszustwa
Lista posiadłości Kirstie Alley zawiera dom późnej gwiazdy na Florydzie za 6 milionów dolarów, który kupiła od Lisy Marie Presley
Whoopi Goldberg pokazuje Kit Harington swoją „Grę o tron” - toaletę inspirowaną: „Prawdziwy żelazny tron”
Olimpijka Jasmine Camacho-Quinn świętuje, że jej brat Robert Quinn zmierza na Super Bowl
Jimmy Buffett, piosenkarz „Margaritaville”, nie żyje w wieku 76 lat
Posiadłość Kim Zolciak-Biermann i Kroy Biermann List w Gruzji na sprzedaż w Splicie
Kim jest mąż Lisy Vanderpump? Wszystko o Kenie Toddzie
Kalendarium związku Maggie Gyllenhaal i Petera Sarsgaarda
Molly Ringwald świętuje 22. rocznicę z mężem Panio Gianopoulosem: „Najlepsza decyzja, jaką kiedykolwiek podjęłam”
Zaginiona 17-letnia dziewczyna prawdopodobnie zamarzła na śmierć po wjechaniu do rowu w wiejskim stanie Wisconsin: urzędnicy
Łyżwiarstwo figurowe w USA „sfrustrowane” brakiem ostatecznej decyzji w zawodach drużynowych, wzywa do sprawiedliwego orzeczenia
Dwayne Johnson mówi, że jego mama jest „w porządku” po nocnym wypadku samochodowym, „będzie nadal oceniana”
Piosenkarka „Flashdance” Irene Cara zmarła z powodu nadciśnienia i wysokiego cholesterolu: raport
Kalendarium związku Gartha Brooksa i Trishy Yearwood
Rodzina Yary Shahidi: wszystko o rodzicach i rodzeństwie aktorki
Yasmin Vossoughian z MSNBC mówi, że lekarz zwolnił jej bóle w klatce piersiowej jako refluks, a potem zaczął się jej „koszmar”
Jakie są negatywne skutki okresu dojrzewania (zdrowie psychiczne itp.)?
Czy 18 lat to dobry wiek na rozpoczęcie przejścia na MTF?
Czy spironolakton jest zły dla HTZ?
Dlaczego nigdy nie widziałem osoby transpłciowej między kobietą a mężczyzną?
Za miesiąc skończę 17 lat i myślałem, że tak naprawdę nie czuję się inaczej niż w wieku 11 lat, czy to normalne? Czy naprawdę zmienię się z wiekiem?
Mam 23 lata. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Mam 21 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Jakie zmiany zajdą, jeśli przejdziesz na HTZ w wieku 13 lat?
Twoim zdaniem, która zmiana płci jest trudniejsza, z kobiety na mężczyznę (KM) czy z mężczyzny na kobietę (MK)?
Mam 14 lat, jakie rady chciałbyś mi udzielić, co będzie pomocne do końca mojego życia?
Jakie są plusy i minusy dojrzewania?
Jak rozpocząć przejście z mężczyzny na kobietę? W środku zawsze byłam dziewczyną. Co muszę zrobić?
Właśnie skończyłem 17 lat, co mam teraz zrobić, aby zapewnić sobie jak najlepsze życie?
Przechodzę z kobiety na mężczyznę. Jakie powinno być moje nowe imię?
Czy nadal jestem osobą transpłciową (FTM), jeśli objawy zaczęły pojawiać się dopiero w okresie dojrzewania?
Jeśli chcę dowiedzieć się, jak rozpocząć leczenie zmiany płci, jakiego lekarza powinienem odwiedzić?
Transgender: Jaka była najtrudniejsza część twojej przemiany z mężczyzny w kobietę?
Co może zrobić 14-latek, aby uczynić swoje życie lepszym/łatwiejszym?
Mam 13 lat w depresji i chcę iść z tym do lekarza, ale boję się tego i że moi rodzice uznają to za moje hormony i tak dalej. Co powinienem zrobić?
Mam 13 lat, jestem osobą transpłciową (ftm) i od kilku miesięcy spotykam się z terapeutą. Jak mam jej powiedzieć, że jestem transseksualistą i dać jej radę, żeby wyszła?
Mam 14 lat, której hobby łatwo się nudzi. Jak odnajduję swoją pasję i talent?
Mam 30 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
W przyszłym miesiącu skończę 16 lat. Jak mam zatrudnić terapeutę, jeśli moja mama uważa, że ​​go nie potrzebuję?
W jakim wieku najlepiej rozpocząć przemianę z kobiety w mężczyznę?
Czy dobrym pomysłem jest rozpoczęcie HTZ w wieku 18 lat (transpłciowy)?
Jaka jest najbardziej użyteczna rzecz, jaką mogę zrobić, gdy mam 14 lat?
Jak zatrzymać dojrzewanie bez blokerów dojrzewania?
Jutro skończę 16 lat. Jaką konkretną radę możesz dać 16-letniemu chłopcu?
Mam 17 lat, co powinienem zrobić, aby zdobyć więcej wiedzy?
Mam dziś 19 lat. Jaka jest najważniejsza rzecz, której powinienem się nauczyć?
Mam 19 lat i jestem jedynakiem. Wpadam w depresję i martwię się, że coś się stanie moim rodzicom, ponieważ to wszystko, co mam. Nie mam żadnych przyjaciół i nie udało mi się ich zdobyć podczas pandemii. Boję się samotności, co mogę zrobić, aby sobie pomóc?
Jaka jest najważniejsza rzecz, o której 14-letni nastolatek powinien pamiętać?
Czy operacja pośladków jest tego warta, aby przejść z mężczyzny w kobietę?
Jak żyć pełnią życia jako 19-latek?
Jakie leki mogą zmienić mężczyznę w kobietę bez operacji?
Czy HTZ jest zalecane dla nastolatków transpłciowych?
Jak mogę otrzymać HTZ, nie mówiąc, że chcę HTZ?
Jak mogę zmienić swoje życie w wieku 17 lat?
Czy możesz zacząć hormony MTF HRT w wieku 13 lat?
Jakie to uczucie, gdy rosną piersi podczas zmiany płci z męskiej na żeńską?
Mam 19 lat. Czy nadal przechodzę okres dojrzewania?
Czy to w porządku, że mam 13 lat, ale w głębi serca wciąż jestem dzieckiem?
Mam 17 lat i planuję przejść do HRT, kiedy skończę studia w tym roku jako 18-latek. Do tego czasu, co mogłem zrobić, aby poczuć się bardziej kobieco?
Jako 13-latek, jak mogę oszczędzać i przechowywać pieniądze bez wiedzy moich rodziców?
Co powinno się stać, jeśli nigdy nie przejdziesz przez okres dojrzewania?
Jakie są niezbędne umiejętności życiowe, które mogę opanować podczas tego 3-miesięcznego lata? Mam 17 lat.
Jaki jest najlepszy sposób na naturalne przejście z mężczyzny w kobietę?
Czy dojrzewanie przebiega etapami? Czy może się zatrzymać, a potem zacząć od nowa?
Pobieranie wartości href pola Link elementu Link w scriban [duplikat]
Czy muszę otwierać źródło mojej aplikacji, jeśli używam niezmodyfikowanych danych API na licencji CC-BY-SA 4.0?
Jaki jest właściwy sposób zamknięcia gniazda C # w .NET Core 3.1?
Jak uzyskać określony tekst należący do klasy DIV
Czy można scharakteryzować maksymalne antychainy w kategoriach sieci dystrybucyjnych?
„ $\Sigma_1^1$-Arytmetyka Peano ”- czy to jest sprecyzowane $\mathbb{N}$?
Najczystszy sposób korzystania z BeginTransaction przy użyciu try catch
Jak monitorować ograniczenia prędkości na drogach w średniowieczu? [duplikować]
Czy istnieje podwójnie wymuszona pozycja matowa?
Jak usunąć pierścienie Saturna?
Użycie niezwykłego hebrajskiego słowa oznaczającego „świecił” w Księdze Wyjścia
java: pobierz liczbę wszystkich odrębnych kluczy i wartości w Map <String, Set <String>> [duplicate]
Dlaczego samoloty nie lecą wcześniej w kierunku ścieżki podejścia do lądowania?
Jakie są największe przeszkody w uzyskaniu RL w produkcji?
O odrzuceniu studenta ze względu na problemy zdrowotne przez promotora doktoratu
Nginx proxy do Tomcat z SSL
Jaka jest macierz logarytmu operatora pochodnej ( $\ln D$)? Jaka jest rola tego operatora w różnych dziedzinach matematycznych?
Czy Uran może mieć stałą powierzchnię ze względu na swój wewnętrzny skład i brak wewnętrznego ciepła?
Czym są bomby Ellermana i jak możemy je zidentyfikować?
winforms C # .NET - Jak poprawić wydajność mojego kodu podczas korzystania z pętli (for, foreach, etc…) [zamknięte]
Studium przypadku: co trzeba zrobić, aby sformułować i udowodnić argument małego obiektu Quillena w ZFC?
„Nie ponoszą winy i nie umierają”
MOC: pytanie o używanie znaku towarowego LEGO
Puzzle przesuwne 3 x 2
Grupuj listę według elementów listy zagnieżdżonej [duplikat]
Jeśli marynowanie niszczy witaminę C, w jaki sposób kapusta kiszona jest bogata w witaminę C?
Jak sprawdzić, czy tablica ma 2 lub więcej takich samych elementów? [duplikować]
Czy możemy wytwarzać energię elektryczną z marsjańskich burz piaskowych? Jeśli tak, czy można go użyć do zasilania kolonii?
Historia mody wilkołaków, część 1: lata 2000
Bardziej szczegółowe omówienie incydentu związanego z bezpieczeństwem z maja 2019 r .: opinie na blogu
„Czterdzieści dni i czterdzieści nocy”
Czy Sąd Najwyższy może uznać, że oskarżenie jest niezgodne z Konstytucją? [duplikować]
Efekt Wilsona: Jak „głębokie” są plamy słoneczne?
Jak duży musiałby być kod QR na moim dachu, aby satelita mógł go zeskanować przy dzisiejszej dopuszczalnej rozdzielczości?
Usuń obramowanie wewnętrzne w type = color
Czy można zastosować drzewo Sterna-Brocota, aby uzyskać lepszą zbieżność plików $2^m/3^n$?
Zapytaj o pozwolenie [przedrostek] [wrostek] [przyrostek]. Co [w całości]?
Przystąp do testów alfa dla nowego edytora stosów
Joomla Wybierz z grupowania DB AND / OR
Dlaczego marynowane owoce i warzywa nie były częścią (europejskich) racji żywnościowych w Erze Żagli?
Mojżesz pierwsza grupa przywódców Wyjścia 18:21
Kubernetes - czy można połączyć Pod.yaml i Service.yaml w jednym pliku yaml (ale bez wdrożenia)
Jak przymocować kryształy do ​​szamana bez użycia kleju?
Regex_search c++
Jaka jest decyzja o toczeniu wojny w miastach?
Czy zabicie mojej homoseksualnej postaci na końcu mojej książki jest obraźliwe?
Jak wyświetlić listę moich zadań K8s za pomocą złożonego LabelSelectora przez client-go?
Księżyc ma odpowiednią prędkość, aby nie rozbić się o Ziemię ani nie uciec w kosmos. Jakie są szanse?
5 kreatywnych technik pisania, które prowadzą do ciekawych artykułów
5 kreatywnych technik pisania, które prowadzą do ciekawych artykułów
Chatbot do kontroli zasobów
Chatbot do kontroli zasobów
Cisza
Cisza
Zaufanie swojemu pierwszemu instynktowi w związku jest niezbędne
Zaufanie swojemu pierwszemu instynktowi w związku jest niezbędne
Co budujemy w 2020 roku
Co budujemy w 2020 roku
Zwiększenie precyzji pomijania błędów przepływu
Zwiększenie precyzji pomijania błędów przepływu
Najpopularniejsze języki programowania dla inżynierów AI w 2020 roku
Najpopularniejsze języki programowania dla inżynierów AI w 2020 roku
Powody, dla których warto wybrać PyTorch do głębokiego uczenia
Powody, dla których warto wybrać PyTorch do głębokiego uczenia
Samantha Lazar
Samantha Lazar
Wir roku
Wir roku
Zaproszenie
Zaproszenie
Dwa repozytoria Pythona do wizualizacji tekstu
Dwa repozytoria Pythona do wizualizacji tekstu
Jak najlepiej to wykorzystać: Hybrydowy projekt UX aplikacji
Jak najlepiej to wykorzystać: Hybrydowy projekt UX aplikacji
Powiadomienia i alarmy w Flutter
Powiadomienia i alarmy w Flutter
6 rzeczy, których nauczyłem się od Brendona Burcharda
6 rzeczy, których nauczyłem się od Brendona Burcharda
Wysoce produktywni ludzie mają rytuał poranny
Wysoce produktywni ludzie mają rytuał poranny
Do południa zrób to, co jest dla ciebie najważniejsze
Do południa zrób to, co jest dla ciebie najważniejsze
Dlaczego nie powinieneś brać rzeczy do siebie
Dlaczego nie powinieneś brać rzeczy do siebie
5 rzeczy wspólnych dla wielkich osiągnięć
5 rzeczy wspólnych dla wielkich osiągnięć
Halloween w widmie
Halloween w widmie
Jestem dorosłym autyzmem i nienawidzę Halloween
Jestem dorosłym autyzmem i nienawidzę Halloween
Nigdy nie myślałem, że przytaknę z aprobatą z powodu przyzwoitości George'a W. Busha
Nigdy nie myślałem, że przytaknę z aprobatą z powodu przyzwoitości George'a W. Busha
Pojawienie się zdecentralizowanych finansów
Pojawienie się zdecentralizowanych finansów
Wizualizacja gwałtownego rozwoju DeFi w 2020 roku
Wizualizacja gwałtownego rozwoju DeFi w 2020 roku
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved