Analiza niewrażliwości Koa.JS, czyli dlaczego branża zabezpieczeń nie rozumie oprogramowania?

Nov 26 2022
Moja frustracja jest cały czas wysoka, ponieważ to się właśnie powtórzyło. Jeśli przeczytałeś moją poprzednią analizę zatytułowaną CVE-2022–29622: (In)vulnerability Analysis, możesz podejrzewać, o czym mówię.

Moja frustracja jest cały czas wysoka, ponieważ to się właśnie powtórzyło. Jeśli czytałeś moją poprzednią analizę zatytułowaną CVE-2022–29622: (In)vulnerability Analysis , możesz podejrzewać, o czym mówię. Ta sama historia, inna ofiara. W tym przypadku ważne są jednak daty. Moja poprzednia analiza nietykalności jest z 2022 roku, dzisiaj przeanalizuję kolejne zagadnienie z 2018 roku.

Możesz zapytać: „Dlaczego musisz zajmować się czymś z 2018 roku?” Doskonałe pytanie! Ponieważ niedawno włączyłem Dependency Track, aby pobierać informacje o lukach w zabezpieczeniach z indeksu OSS Sonatype.

Koa.JS „Vulnerability” z 2018 r. (fałszywie dodatni)

Dzisiaj, gdy przeglądałem SCA , aby sprawdzić, czy mamy jakieś wrażliwe komponenty, a jeśli tak, ustal priorytety prac naprawczych. Natknąłem się na coś bardzo zaskakującego. Koa.JS ma krytyczną lukę?! Po moim zwykłym „#FFS, cały mój tydzień wymaga przeorganizowania”, pomyślałem: „Weź głęboki oddech i przyjrzyj się, o co tu chodzi. Pamiętasz, co się stało ostatnim razem…

Śledzenie zależności pokazujące informacje o lukach w zabezpieczeniach

I tak zrobiłem. Przede wszystkim tytuł wyjaśnia, że ​​„problem” został znaleziony w 2018 roku. Dlaczego miałbym mieć lukę w bibliotece, która jest nadal utrzymywana i ciągle aktualizuję ją do najnowszej wersji? W tym momencie uruchomiła się dochodzeniowa część mojego mózgu.

Co wiemy/widzimy w tym momencie?

  1. Podobno w 2018 roku w Koa wystąpiła luka z przypisaną krytyczną ważnością
  2. Według Sonatype OSS Index i Dependency Track problem dotyczy mnie w 2022 roku podczas korzystania z najnowszej wersji Koa
  • Które wersje biblioteki Koa.JS zostały dotknięte „luką”
  • Jeśli „luka” występuje w najnowszym Koa.JS

Analiza problemu

Zobaczmy, o co chodzi z tą „luką”. Pozwolę sobie szybko połączyć powiązany problem nr 1250 z GitHub tutaj. Po prostu skopiuję i wkleję poniższy przykład (PoC?), abyśmy mogli go przeanalizować.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.redirect("javascript:alert(1);")
});

app.listen(3000);

„Jako programista aplikacji internetowej lub usługi internetowej mogę przekierować Twoją przeglądarkę w dowolne miejsce, jeśli odwiedzisz moją witrynę”.

To właśnie oznacza powyższy kod. W powyższym PoC nie przedstawiono żadnego wektora ataku, który mógłby wykorzystać złośliwy aktor.

Gdybyś chciał zapewnić odpowiedni „PoC” dla tej luki (tak, właśnie to powiedziałem), wyglądałoby to tak:

const Koa = require('koa');
const app = new Koa();
// Try: http://localhost:3000/?vector=javascript:alert(1);
app.use(async ctx => {
  ctx.redirect(ctx.request.query.vector);
});

app.listen(3000);

Mówiąc o luce w zabezpieczeniach XSS, jeśli cokolwiek wprowadziłbym jako wartość vectorparametru, byłoby niepewnie wyświetlane w kontekście HTML, zaimplementowana przeze mnie aplikacja byłaby podatna na Cross Site Scripting. (Więcej na ten temat później)

Przybliżając, jak Sonatype to przedstawił i analizując nieco dalej:

„Otwarte przekierowanie prowadzące do skryptów międzywitrynowych”? Przede wszystkim nie było otwartego przekierowania. Jest otwarty tylko wtedy, gdy go otworzysz, a różnica między dwoma PoC (oryginalnym i moim) wyraźnie to pokazuje. W pierwszym nie było wektora ataku, więc nie było otwartego przekierowania. Mój PoC miał wektor ataku, bez filtrowania, więc nastąpiło otwarte przekierowanie. Ale, jak widać, to, czy nastąpiło otwarte przekierowanie, czy nie, zależało ode mnie, programisty, a nie od Koa.JS. Co więcej, to, czy było przekierowanie, czy nie, również zależało ode mnie. To, czy uwzględniłem dane wprowadzone przez użytkownika jako/w adresie URL przekierowania w niezabezpieczony sposób, również zależało ode mnie. O jakiej luce Koa.JS w takim razie mówimy? Technicznie rzecz biorąc, nie było luki w zabezpieczeniach i ktoś nadal przypisywał jej krytyczną wagę. Nie do końca profesjonalny.

W każdym razie „wykorzystajmy” wspomnianą „lukę” zaimplementowaną przez odpowiedni PoC. Pamiętaj, że musiałem zmienić port usługi z 3000 na 4444, ponieważ coś już nasłuchiwało na porcie 3000.

Widzimy, że Locationnagłówek odpowiedzi ma wartość javascript:alert(1). Następnie przeglądarka przekierowuje do…

Uff, jestem bezpieczny! Nie wyskakuje okienko z ostrzeżeniem. Tak, mógłbym wprowadzić https://google.comjako wartość vectorparametru zapytania i zostać przekierowanym do Google, więc moja aplikacja (PoC) jest podatna na otwarte przekierowanie, ale nie z powodu Koa, ale dlatego, że przekazałem niefiltrowane dane użytkownika do ctx.redirect. To nie jest coś, czym się martwię, nigdy bym tego nie zrobił.

Ważną rzeczą do odnotowania w komentarzach do problemu na GitHub jest to, co następuje:

Problem wynika z faktu, że Koa drukuje hiperłącze HTML w treści odpowiedzi przekierowania, co może wywołać atak cross-site scripting.

Ach, to ma trochę więcej sensu! Zobaczmy, czy nadal tak jest.

Nie, już tak nie jest. Nie ma ciała odpowiedzi. Chyba mogę stwierdzić, że ta „luka” mnie nie dotyczy. Mogę po prostu pójść i oznaczyć to jako fałszywy alarm na ścieżce zależności.

Analiza kontekstu

Proponuję „Analizę kontekstu” do przyjęcia przez wszystkich specjalistów ds. bezpieczeństwa i przeprowadzania przed zgłaszaniem „problemów”. Niech to będzie kolejny przykład i pokażę, jak to się robi. (Nadal jednak polecam przeczytanie CVE-2022–29622: (In)vulnerability Analysis , ponieważ o wiele lepiej wyjaśnia znaczenie kontekstu.)

  1. Koa.JS po wyjęciu z pudełka nie przekierowuje Cię nigdzie. Dlatego istnieje i nie było „Open Redirect”, jak stwierdził Sonatype OSS Index.
  2. Na podstawie „PoC” udostępnionego na GitHub, programista miał okazję zrobić coś głupiego, co mogłoby doprowadzić do XSS. Ale patrz punkt 1 powyżej. Koa.JS nie wykonał samodzielnie żadnego przekierowania. Patrz nr 2 poniżej.
  3. Deweloper musiał zaimplementować swoją aplikację w niezabezpieczony sposób, aby zgłoszona „luka” była obecna. To prawie oznacza, że ​​Koa.JS, chociaż mógł działać lepiej, nie można nazwać go podatnym na ataki. To jest nieodpowiednie kontekstowo. Luka, o której mowa, może występować tylko w niezabezpieczonej aplikacji internetowej .

Podam przykład, jak najlepiej radzić sobie z takimi sytuacjami. Spójrz na ten problem, który przesłałem do Swagger Parser i jak został przekazany. Przeanalizujmy raport o problemie:

  1. Tytuł mówi „Niepewne zachowanie programu do rozwiązywania problemów”. Nie mówię o LFI (Local File Inclusion) w tytule. Dzieje się tak dlatego, że chociaż istnieje możliwość włączenia lokalnego pliku, JEŚLI SPRÓBOWAŁEM, tak naprawdę ode mnie jako programisty zależy, czy będę wiedział, z czym pracuję i jak z tym pracuję. Domyślne zachowanie było (być może nadal jest) niepewne. Ale sama biblioteka, bez mojego udziału, nic nie zdziała.
  2. Następnie jasno określam, o której wersji biblioteki mówię. Kontekst jeszcze bardziej wyjaśniam, wymieniając warunki, w których niepewne domyślne zachowanie biblioteki wpłynie na aplikację. To sprawia, że ​​​​jest całkiem jasne, że sama biblioteka nie jest podatna na ataki, ale ma niebezpieczne zachowanie, które można ulepszyć, aby pomóc programistom.
  3. Więc teraz, gdy kontekst jest ustawiony, dostarczam działający PoC, fragment kodu podatnego na ataki (który napisałem jako PoC, nie jest częścią Swagger Parser!) biblioteka niepewnie.
  4. Przeprowadziłem dochodzenie i odkryłem, że jako programista mogę właściwie skonfigurować bibliotekę w sposób, który łagodzi problem. (do pewnego stopnia) podzieliłem się tym z twórcami. Jeśli nic więcej, przynajmniej mogą zaktualizować dokumentację, aby podnieść świadomość.
  5. Dostarczyłem dodatkowy kontekst, analizę i przykład, jak można coś poprawić.

Wniosek

Przede wszystkim Sonatype powinien lepiej radzić sobie z indeksem OSS i upewnić się, że informacje o wersji są dostępne dla każdej luki w bazie danych. To absolutne minimum. (Dodatkowe punkty za całkowite usunięcie tego konkretnego wpisu z bazy danych.)

Podejrzewam, że Dependency Track cierpi na FOMO, dlatego jest skłonny zgłaszać problemy wyłącznie na podstawie dopasowania nazwy komponentu, jeśli numer wersji nie jest dostępny. Rozumiem do tego stopnia, że ​​nie ryzykowaliby przeoczenia krytycznej luki w zabezpieczeniach. Problem z tym zachowaniem (fałszywe alarmy) polega na tym, że nie zachęca do przyjęcia analizy składu oprogramowania. Odstraszy programistów, podobnie jak fałszywe alarmy statycznej analizy kodu. Efekt przeciwny do zamierzonego.

Kontekst! Krwawy kontekst, ludzie! Proponuję:

  1. „Analiza kontekstu” do przyjęcia przez wszystkich specjalistów ds. bezpieczeństwa i przeprowadzana przed zgłoszeniem „problemów”
  2. Odróżnianie „niepewnych zachowań” od „podatności na zagrożenia”
  3. Zrozumienie różnicy między biblioteką oprogramowania a aplikacją/usługą
Struktury danych w JavaScript
Struktury danych w JavaScript
Czym w ogóle jest lista połączona? [Część 1]
Czym w ogóle jest lista połączona? [Część 1]
Więc powiedz mi o połączonych listach
Więc powiedz mi o połączonych listach
Kiedy wszystko inne zawiedzie, bądź kreatywny
Kiedy wszystko inne zawiedzie, bądź kreatywny
Mój statek kosmiczny na końcu świata
Mój statek kosmiczny na końcu świata
Lasagne z dynią i jarmużem
Lasagne z dynią i jarmużem
Nie bojąc się porażki, Walker Buehler spokojnie odnosi kolejne sukcesy w NLCS Game 6
Nie bojąc się porażki, Walker Buehler spokojnie odnosi kolejne sukcesy w NLCS Game 6
Cóż z Kell: przyjacielu, oczyść swoje jelita!
Cóż z Kell: przyjacielu, oczyść swoje jelita!
Mój sąsiad
Mój sąsiad
Błyszczący
Błyszczący
Kreatywność jako kompas
Kreatywność jako kompas
Wpływ strachu i żalu na kreatywność
Wpływ strachu i żalu na kreatywność
Wpływ samotności na kreatywność
Wpływ samotności na kreatywność
Ale co, jeśli nie mam dokąd wrócić?
Ale co, jeśli nie mam dokąd wrócić?
Niewidzialny smutek
Niewidzialny smutek
Wreszcie rzuciłem palenie
Wreszcie rzuciłem palenie
Nie czuję się już winny, że nie jestem produktywny
Nie czuję się już winny, że nie jestem produktywny
Ameryka zawsze była brutalną, samotną pustynią
Ameryka zawsze była brutalną, samotną pustynią
Krótka recenzja dwóch scen z „Borata 2”
Krótka recenzja dwóch scen z „Borata 2”
Twoje dziecko transpłciowe potrzebuje terapeuty - Ty też
Twoje dziecko transpłciowe potrzebuje terapeuty - Ty też
Lekcje życia dzięki uprzejmości My Transgender Son
Lekcje życia dzięki uprzejmości My Transgender Son
Nie pozwolę, by zmartwienia miały całą moc
Nie pozwolę, by zmartwienia miały całą moc
Drażniące maski na twarz, moda i obawy przed COVID-19
Drażniące maski na twarz, moda i obawy przed COVID-19
Samsung Galaxy Note 20 Ultra: właściwy telefon, zły czas
Samsung Galaxy Note 20 Ultra: właściwy telefon, zły czas
Dolly Parton pomogła swojej „inwalidzkiej” babci, gdy żadne inne wnuki by tego nie zrobiły - ona też zrobiła jej psikusa
John Lennon powiedział, że piosenka B-52 brzmiała „jak muzyka Yoko”
Najlepszy czas na odwiedzenie miejsca kręcenia „Domku na prerii”.
Christopher Nolan kiedyś żałował, że przeczytał scenariusz „Pulp Fiction” Quentina Tarantino
Gene Simmons mówi, że komiksy KISS mogą potencjalnie „odtworzyć ludzkość”.
Dolly Parton znalazła Boga w opuszczonym kościele Lokalni nastolatkowie wykorzystywani do seksu
Paul McCartney powiedział, że „Sierż. Pepper' Song nie jest o heroinie
Piosenka Beatlesów, którą Peter Asher nazwał „najwspanialszą piosenką, jaką kiedykolwiek słyszałem”
Jana Duggar: Wszystko, co powiedziała o miłości i jej 5-letnie okno na znalezienie „jednego”
Stevie Nicks „przyczepiła się” do 1 piosenki Joni Mitchell, kiedy poczuła, że ​​jej kariera muzyczna zawodzi
Paul McCartney był tak zestresowany jedynym odwołanym koncertem The Beatles, że zwymiotował
Paul McCartney powiedział, że „When I'm Sixty-Four” The Beatles to żart
Billy Crystal i Robin Williams zareklamowali całą swoją kameę „Przyjaciele”.
„Chłopiec poznaje świat”: dlaczego pan Turner zniknął z serialu?
George Harrison zdenerwował się, że jego teksty do piosenki „Hurdy Gurdy Man” Donovana nie zostały użyte
Nicole Kidman pokochała tę 1 atrakcyjną funkcję, którą Michael Keaton i Val Kilmer udostępnili jako Batman
Prince pracował nad piosenką Steviego Nicksa przez godzinę i zarobił połowę tantiem 
Donovan porównał jedną ze swoich piosenek do „Lucy in the Sky with Diamonds” The Beatles
Paul McCartney wyobrażał sobie, jak jego mama zareagowałaby na jego sukces
Paul McCartney: Cierpienie sprawiło, że 1 piosenka z „białego albumu” Beatlesów była dobra
„Ciekawy przypadek Natalii Grace”: gdzie są dziś Nataila, Kristine i Michael Barnett?
David Bowie prawie napisał musical składający się z fałszywych piosenek Boba Dylana
John Lennon powiedział 1 linijkę w „Revolution” The Beatles skomentował policję
Jak Melissa Gilbert uratowała ptaka, łapiąc go pod koszulą nocną
Taylor Sheridan właśnie dodał jedną ze swoich ulubionych gwiazd „Yellowstone” do obsady „Lawmen: Bass Reeves”
Quentin Tarantino podzielił się kiedyś najciekawszą postacią, jaką kiedykolwiek napisał, w „Pulp Fiction”
Kariera aktorska Bradleya Coopera była zagrożona, kiedy pracował z Julią Roberts w tym projekcie
Piosenka wczesnych Beatlesów, która była jednym z „najbardziej ekscytujących występów” zespołu, według Insidera Fab Four
Spojrzenie wstecz na rolę Buddy'ego Ebsena w „The Andy Griffith Show”
Paul McCartney powiedział, że miał „szczęście”, że nigdy nie brał heroiny 
MIA zaatakowała kiedyś utwór „Give Peace a Chance” Johna Lennona
Rolling Stones: Keith Richards został wkurzony przez 1 grupę fanów muzyki, którzy skrytykowali zespół
Brad Pitt i Harrison Ford musieli wymyślić „The Devil's Own” w locie, kiedy „scenariusz został wyrzucony”
John Lennon powiedział, dlaczego „The Tonight Show” był „najbardziej żenującym” programem, w jakim kiedykolwiek był
Paul McCartney podzielił się tym, co zrobiło na nim największe wrażenie w Johnie Lennonie, kiedy spotkali się po raz pierwszy
Petula Clark powiedziała, że ​​„Downtown” ujawniła desperacką piosenkę
Piosenka Paula Simona, która doskonale sparodiowała Boba Dylana 
Ringo Starr odmawia grania z kliknięciami, co czyni go lepszym perkusistą
Judy Norton z „The Waltons” zdała sobie sprawę, że czasami była „bachorem” podczas kręcenia serialu
„My Way” Franka Sinatry nie był tak duży jak jego „Old MacDonald”
Jak Paul McCartney zareagował na tytuł utworu The Beatles „Lucy in the Sky with Diamonds”
„Nie śpij w metrze” zdumiona Petula Clark
Winona Ryder kiedyś udostępniła wszystkie swoje postacie jako „brzydką dziewczynę” na początku swojej kariery
„Sympathy for the Devil” The Rolling Stones pierwotnie brzmiało jak muzyka brazylijska
Mick Jagger powiedział, że „Their Satanic Majesties Request” The Rolling Stones zostało zainspirowane Acid, a nie The Beatles
Menedżer Led Zeppelin, Peter Grant, zobaczył fałszywy zespół, który zdobył nagrodę Grammy, zanim zrobił to Zep
Dlaczego Paul McCartney był „strzeżony” przed mówieniem prawdy o The Beatles
Porady Jimmy'ego Page'a dla młodych muzyków pochodzą prosto z Podręcznika mówcy motywacyjnego
Prypeć: ukraińskie miasto duchów w cieniu Czarnobyla
Jaka jest różnica między drożdżami błyskawicznymi a aktywnymi suchymi?
Najwyższa góra w Układzie Słonecznym jest znacznie wyższa niż Everest
Martha Mitchell: Kobieta, która za dużo wiedziała o Watergate
Dlaczego duże firmy, takie jak Tesla i Amazon, dzielą akcje
Czy powinieneś używać Facebooka czy Google do logowania się do innych witryn?
Biennale w Wenecji to „Olimpiada Sztuki”
Przekaż swoje włosy, aby pomóc utrzymać naszą wodę w czystości
Nie wyrzucaj tych kartonowych tub! 10 sposobów na ich ponowne wykorzystanie
Skąd pochodzi fraza „On the Lam”?
Where in the World Are You? Take our GeoGuesser Quiz
Wielkie Ucieczki! 5 dzikich zwierząt, które odpadły i poszły w biegu
Jak pozbyć się much drenażowych?
Czy gotowanie indukcyjne jest lepsze niż gazowe czy elektryczne?
Który grejpfrut jest najsłodszy — biały, czerwony czy różowy?
1500 $ Dzisiaj kupuje przepustkę Yellowstone za 2172
Mała grupa Samarytan nadal praktykuje swoją starożytną religię
Elon Musk jest właścicielem Twittera. Co może pójść nie tak?
Czy nowo zmierzony bozon W może złamać model standardowy?
Czy zjadłbyś Casu Marzu, nielegalny ser z robakami?
Co to jest rozmazywanie i czy może oczyścić przestrzeń z negatywnej energii?
Rycerz Mieczy: znaczenie i interpretacja karty Tarota
Ketanji Brown Jackson mianowany sędzią Sądu Najwyższego
5 wymownych i trwałych cytatów Mayi Angelou
Atlas Moth to Behe-moth, plus 5 innych faktów
Jaka jest różnica między demokracją a republiką?
Ukraińscy uchodźcy mogą nigdy nie wrócić do domu, nawet po zakończeniu wojny
Susza, zmiany klimatyczne zagrażają przyszłości energetyki wodnej w USA
Papużki faliste są super towarzyskie i robią świetne zwierzęta
Jak przywrócić ustawienia fabryczne iPhone'a?
Niektórzy fizycy i filozofowie twierdzą, że czas może nie istnieć
Czy wirtualne elektrownie mogą pomóc ustabilizować amerykańską sieć energetyczną?
Może możesz być za chudy? Poznaj najchudszy drapacz chmur na świecie
Dlaczego w USA nie ma „bezzwrotnego” systemu rozliczania podatków?
Czym jest ludobójstwo i czy Rosja popełnia je na Ukrainie?
Wesele opiekunowie zwierząt przygotują psiaka na wspaniały dzień
Myślenie obiektywne i subiektywne oraz zastosowania
Kim był Poncjusz Piłat przed i po ukrzyżowaniu Jezusa?
Czym jest trucizna pigułka i czy Twitter utrzyma Elona Muska w Bay?
Hagfish: ta przypominająca węgorz śluzowa maszyna to koszmar drapieżnika
Spojrzenie na najbardziej niezapomniane wesela w Białym Domu
Czy musisz mieć pozytywne nastawienie, aby pokonać raka?
Dlaczego Sriracha jest ulubionym gorącym sosem wszystkich?
The Secrets of Airline Travel Quiz
Znaczenie tatuaży ze średnikami: symbol odporności i solidarności
Modliszka z orchidei wygląda jak kwiat, „żądli” jak pszczoła
Czym jest wilgotność i jak wpływa ona na temperaturę?
Anioł nr 222: Odsłonięcie symbolicznego znaczenia życia i miłości
Mężczyzna z Luizjany wysłał mrożące krew w żyłach ostrzeżenie przed szaleństwem przestępczym
Lionsgate daje sobie rok na zmianę tytułu Now You See Me 3 na Now You Three Me
Dziki powód Los młodego bandyty w procesie YSL Rico potrwa dłużej, niż oczekiwano
Zrób sobie przysługę i idź obejrzeć najlepsze wydarzenie speedrunningowe roku
RIP Robert Towne, nagrodzony Oscarem scenarzysta Chinatown
Papież Franciszek zatwierdził pierwszego świętego Tysiąclecia
Dyrektor Twistera nie dostał ostrzeżenia o tornadzie w Twisterach
Przygoda Tiany na Bayou przerywa 87 lat dziwnego kanonu księżniczek Disneya
Biden krytykuje orzeczenie Sądu Najwyższego o immunitecie Trumpa i zwraca uwagę na niebezpieczeństwo niekontrolowanej władzy
Siostrzenica Luthera Vandrossa ma coś do powiedzenia na temat jego rozdzierającego serce wywiadu z Oprah Winfrey po udarze mózgu
Pamiętasz, jak holenderska linia lotnicza wrzuciła 440 wiewiórek do ogromnej niszczarki?
Marvel's Black Panther Show będzie najważniejszym serialem animowanym w historii
Histeria wywołana piłą łańcuchową Cate Blanchett podczas blokady doprowadziła ją na Borderlands
Sztuczna inteligencja ekshumuje głosy zmarłych gwiazd, aby przeczytać Ci pliki PDF lub cokolwiek innego
Deadpool i Wolverine w końcu odblokują filmy Marvela o X-Menach
Oto dlaczego Eddie Murphy został „zmuszony” do zmiany swojego słynnego śmiechu
Cate Blanchett wyjaśnia, dlaczego wystąpiła w filmie Borderlands
Boeing chciałby, aby wszyscy przestali twierdzić, że test Starlinera na ISS zakończył się fiaskiem
MaXXXine to pulsująca hollywoodzka opowieść, która wydaje się zbyt oswojona
Żona Zełenskiego tak naprawdę nie kupiła Bugatti Tourbillon pomimo twierdzeń rosyjskiej propagandy
Niedobrze: huragan Beryl to najwcześniejsza burza kategorii 5 w zapisanej historii
Furgonetka dostawcza Amazon zapala się w wyniku ognistej eksplozji podczas letnich upałów w Houston
Xbox ma poważną awarię [Aktualizacja: znowu działa]
Nowe błędy oprogramowania Open Source sprawiają, że tysiące aplikacji na iOS jest podatnych na przechwycenie
McLaren po prostu nie może przestać zwalniać kierowców IndyCar, wręcz to uwielbia
Dwoje palestyńskich dzieci doznało „traumy” po tym, jak kobieta rzekomo próbowała je utopić
Land Rover Defender Octa to bestia o mocy 626 KM, która nadejdzie dla Raptorów Świata
Policjant z Beverly Hills: Recenzja Axela F: Eddie Murphy nieskomplikowany powrót do przeszłości w serwisie Netflix
Powstrzymaj kota od drapania mebli dzięki tym popartym naukowo strategiom
Podsumowanie Niedźwiedzia: Czy Marcus jest najmilszym, najłagodniejszym i najszczerszym mężczyzną w Chicago?
Czy chcesz Corvettę, ale chciałbyś, żeby wyglądała okropnie? Chłopcze, mamy dla ciebie samochód
Sonda: Demokraci podążają śladem Trumpa, czy zastąpią Bidena Bidenem, Bidenem czy Bidenem
Obejrzyj Motorweek testujący Sterlinga, zapomniane brytyjskie podejście do legendy Acury
Teraz możesz posiadać najbardziej kultowe bikini w historii science fiction
Sąd Najwyższy orzekł, że Trump ma immunitet za każde przestępstwo popełnione w godzinach od 9 do 5
Straszne turbulencje powodują, że mężczyzna wlatuje do kosza na śmieci na wirusowym wideo
Złe wieści dla Fani Willis i jej sprawy dotyczącej ingerencji w wybory Trumpa
Jednym z wielu odrzuconych pomysłów Ryana Reynoldsa na Deadpool 3 była niezależna podróż objazdowa
Czy Simone Biles uda się przygotować SZA na igrzyska olimpijskie?
Błagam graczy Final Fantasy 14, aby po prostu przeczytali dialog w Dawntrail
Spędziłem weekend z grą zdalną i grami w chmurze i było naprawdę niesamowicie
Niektórzy fani Mortal Kombat martwią się, że najnowsza gra już nie żyje, ale może być bardziej skomplikowana
BMW nie chce, aby samochody spalone na bagażniku trafiały na sprzedaż
Czy za 9800 dolarów „zapakowałbyś ich” do tej siedmiomiejscowej Toyoty RAV4 z 2008 roku?
Kierowcy udaje się przewrócić Teslę Cybertruck, nie wymaga samodzielnego prowadzenia
Ridley Scott „nie był zadowolony”, gdy rozdano sequele Obcego i Łowcy androidów
Popularny raper YouTube i słynny czarodziej TikTok biorą udział w wirusowym meczu szczekania
Eddie Murphy opowiada o wszystkim podczas swojej wycieczki prasowej „Gliniarz z Beverly Hills: Axel F”.
Kim jest żona Johna Cleese'a? Wszystko o Jennifer Wade
Kalendarium związku Maggie Gyllenhaal i Petera Sarsgaarda
Łyżwiarstwo figurowe w USA „sfrustrowane” brakiem ostatecznej decyzji w zawodach drużynowych, wzywa do sprawiedliwego orzeczenia
Kim jest żona Jaya Shetty’ego? Wszystko o Radhi Devlukii-Shetty
Kalendarium związku Suzanne Somers i Alana Hamela
Lista posiadłości Kirstie Alley zawiera dom późnej gwiazdy na Florydzie za 6 milionów dolarów, który kupiła od Lisy Marie Presley
Znaleziono ciała prawdopodobnie należące do raperów zaginionych od czasu odwołania koncertu: „Nie zasłużyli na to”
Eric i Jessie James Decker zawsze „całują się nawzajem” - a dzieciom się to nie podoba
Kim jest narzeczony JWoww? Wszystko o Zacku Claytonie Carpinello
Muni Long mówi, że jeszcze nie „przetworzyła”, zdobywając 3 nominacje Grammy: „Wszystko idzie tak szybko”
Gwyneth Paltrow ujawnia sukienkę na randkę, którą zachowała ze swojego związku z Bradem Pittem 
Bengals Running Back Joe Mixon poszukiwany nakazem aresztowania wydanym za rzekome wycelowanie broni palnej w kobietę
Whoopi Goldberg pokazuje Kit Harington swoją „Grę o tron” - toaletę inspirowaną: „Prawdziwy żelazny tron”
Posiadłość Kim Zolciak-Biermann i Kroy Biermann List w Gruzji na sprzedaż w Splicie
Margaret Josephs broni „niszczycielskiego” wyboru Melissy i Joe Gorga, aby pominąć ślub Teresy Giudice
Animal Rescue ostrzega „Nigdy nie farbuj ptaka” po tym, jak „walczący” różowy gołąb został znaleziony błąkający się po Nowym Jorku
Aktorzy serialu Laguna Beach: Gdzie są teraz?
Wszystko o relacjach Zoë Kravitz z rodzicami Lennym Kravitzem i Lisą Bonet
Yasmin Vossoughian z MSNBC mówi, że lekarz zwolnił jej bóle w klatce piersiowej jako refluks, a potem zaczął się jej „koszmar”
Molly Ringwald świętuje 22. rocznicę z mężem Panio Gianopoulosem: „Najlepsza decyzja, jaką kiedykolwiek podjęłam”
Kupujący Amazon mówią, że śpią „jak rozpieszczone dziecko” dzięki tym jedwabnym poszewkom na poduszki, które kosztują zaledwie 10 USD
Profesor Purdue University aresztowany za rzekomy handel metamfetaminą i proponowanie kobietom usług seksualnych
Kim jest mąż Lisy Vanderpump? Wszystko o Kenie Toddzie
Córka Kevina Jonasa, Alena, wygląda na dorosłą na zdjęciu urodzinowym: „9 lat nie wydaje się prawdziwe”
Dwayne Johnson mówi, że jego mama jest „w porządku” po nocnym wypadku samochodowym, „będzie nadal oceniana”
Matthew McConaughey ujawnia, że ​​wróżka kazała mu zagrać w filmie „Jak stracić faceta w 10 dni”
TJ Watt chce, aby Tom Brady i brat JJ zostali razem wprowadzeni do Galerii Sław NFL
Zaginiona 17-letnia dziewczyna prawdopodobnie zamarzła na śmierć po wjechaniu do rowu w wiejskim stanie Wisconsin: urzędnicy
Historia randek Avy Gardner: spojrzenie wstecz na małżeństwa i romanse ikony Hollywood
Kalendarium związku Gartha Brooksa i Trishy Yearwood
Kobieta znaleziona żywa i „z trudem łapiąc powietrze” w worku na zwłoki w domu pogrzebowym w Iowa
Bob Barker, wieloletni gospodarz programu „The Price Is Right”, zmarł w wieku 99 lat: „Najlepszy MC na świecie”
Susan Lucci ze łzami w oczach wspomina zmarłego męża, kiedy przyznaje, że „nie jest gotowa” na randki
Olimpijka Jasmine Camacho-Quinn świętuje, że jej brat Robert Quinn zmierza na Super Bowl
Charly Reynolds ujawnia niedawną operację strun głosowych: „Miałem problemy ze śpiewaniem”
Danielle Moné Truitt z „Prawa i porządku” uważa, że ​​fani zostali „oszukani; Autorstwa Stablera i Bensona Kiss Tease
Marvel faktycznie publikuje fikcyjne wspomnienie Scotta Langa z „Ant-Man and the Wasp: Quantumania”
Jimmy Buffett, piosenkarz „Margaritaville”, nie żyje w wieku 76 lat
Kupujący zgadzają się, że ta zamiatarka Black + Decker jest „znacznie szybsza” niż tradycyjna miotła i jest w sprzedaży
W tej tajnej sekcji wyprzedaży w szafie Nordstrom kryje się ponad 2500 stylów na zimną pogodę — od 6 USD
Chelsea Houska z „Nastoletniej mamy” dzieli się płaczliwymi reakcjami na odnowienie 2. sezonu programu HGTV: „Tak wiele znaczy”
Piosenkarka „Flashdance” Irene Cara zmarła z powodu nadciśnienia i wysokiego cholesterolu: raport
Kim jest żona Jasona Kennedy'ego? Wszystko o Lauren Scruggs Kennedy
Paul McCartney o byciu „romantycznym” z żoną Nancy Shevell: „Całkowicie przesadzam z walentynkami”
Rodzina Yary Shahidi: wszystko o rodzicach i rodzeństwie aktorki
Kobieta, która zmarła 37 lat temu po tym, jak została znaleziona nieprzytomna na autostradzie w stanie Georgia, została zidentyfikowana jako zaginiona mama 4-latki
Kim jest żona Vince'a Vaughna? Wszystko o Kyli Weber
Heather Rae i Tarek El Moussa witają swojego synka: „Nasze serca są takie szczęśliwe”
W jakim wieku najlepiej rozpocząć przemianę z kobiety w mężczyznę?
Mam 23 lata. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Jaka jest najbardziej użyteczna rzecz, jaką mogę zrobić, gdy mam 14 lat?
Jutro skończę 16 lat. Jaką konkretną radę możesz dać 16-letniemu chłopcu?
Czy nadal jestem osobą transpłciową (FTM), jeśli objawy zaczęły pojawiać się dopiero w okresie dojrzewania?
Jaka jest najważniejsza rzecz, o której 14-letni nastolatek powinien pamiętać?
Czy to w porządku, że mam 13 lat, ale w głębi serca wciąż jestem dzieckiem?
Mam dziś 19 lat. Jaka jest najważniejsza rzecz, której powinienem się nauczyć?
Mam 17 lat i planuję przejść do HRT, kiedy skończę studia w tym roku jako 18-latek. Do tego czasu, co mogłem zrobić, aby poczuć się bardziej kobieco?
Mam 14 lat, której hobby łatwo się nudzi. Jak odnajduję swoją pasję i talent?
Mam 14 lat, jakie rady chciałbyś mi udzielić, co będzie pomocne do końca mojego życia?
Czy wszyscy przechodzą okres dojrzewania?
Właśnie skończyłem 17 lat, co mam teraz zrobić, aby zapewnić sobie jak najlepsze życie?
Mam 13 lat w depresji i chcę iść z tym do lekarza, ale boję się tego i że moi rodzice uznają to za moje hormony i tak dalej. Co powinienem zrobić?
Jak zatrzymać dojrzewanie bez blokerów dojrzewania?
Za miesiąc skończę 17 lat i myślałem, że tak naprawdę nie czuję się inaczej niż w wieku 11 lat, czy to normalne? Czy naprawdę zmienię się z wiekiem?
Czy 18 lat to dobry wiek na rozpoczęcie przejścia na MTF?
Czy dobrym pomysłem jest rozpoczęcie HTZ w wieku 18 lat (transpłciowy)?
Jak żyć pełnią życia jako 19-latek?
Co powinno się stać, jeśli nigdy nie przejdziesz przez okres dojrzewania?
Mam 19 lat. Czy nadal przechodzę okres dojrzewania?
W przyszłym miesiącu skończę 16 lat. Jak mam zatrudnić terapeutę, jeśli moja mama uważa, że ​​go nie potrzebuję?
Co może zrobić 14-latek, aby uczynić swoje życie lepszym/łatwiejszym?
Jakie są niezbędne umiejętności życiowe, które mogę opanować podczas tego 3-miesięcznego lata? Mam 17 lat.
Jeśli chcę dowiedzieć się, jak rozpocząć leczenie zmiany płci, jakiego lekarza powinienem odwiedzić?
Przechodzę z kobiety na mężczyznę. Jakie powinno być moje nowe imię?
Mam 17 lat, co powinienem zrobić, aby zdobyć więcej wiedzy?
Jak umówić się na wizytę u lekarza bez rodziców i bez znajomości powodu mojego wyjazdu? Mam 15 lat.
Dlaczego nigdy nie widziałem osoby transpłciowej między kobietą a mężczyzną?
Twoim zdaniem, która zmiana płci jest trudniejsza, z kobiety na mężczyznę (KM) czy z mężczyzny na kobietę (MK)?
Mam 30 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Czy możesz zacząć hormony MTF HRT w wieku 13 lat?
Mam 19 lat i jestem jedynakiem. Wpadam w depresję i martwię się, że coś się stanie moim rodzicom, ponieważ to wszystko, co mam. Nie mam żadnych przyjaciół i nie udało mi się ich zdobyć podczas pandemii. Boję się samotności, co mogę zrobić, aby sobie pomóc?
Jakie są plusy i minusy dojrzewania?
Transgender: Jaka była najtrudniejsza część twojej przemiany z mężczyzny w kobietę?
Jakie zmiany zajdą, jeśli przejdziesz na HTZ w wieku 13 lat?
Jaki jest najlepszy sposób na naturalne przejście z mężczyzny w kobietę?
Czy dojrzewanie przebiega etapami? Czy może się zatrzymać, a potem zacząć od nowa?
Jak mogę otrzymać HTZ, nie mówiąc, że chcę HTZ?
Jakie są negatywne skutki okresu dojrzewania (zdrowie psychiczne itp.)?
Jakie leki mogą zmienić mężczyznę w kobietę bez operacji?
Czy operacja pośladków jest tego warta, aby przejść z mężczyzny w kobietę?
Jak rozpocząć przejście z mężczyzny na kobietę? W środku zawsze byłam dziewczyną. Co muszę zrobić?
Mam 21 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Jako 13-latek, jak mogę oszczędzać i przechowywać pieniądze bez wiedzy moich rodziców?
Jak mogę zmienić swoje życie w wieku 17 lat?
Czy HTZ jest zalecane dla nastolatków transpłciowych?
Czy spironolakton jest zły dla HTZ?
„ $\Sigma_1^1$-Arytmetyka Peano ”- czy to jest sprecyzowane $\mathbb{N}$?
Jeśli marynowanie niszczy witaminę C, w jaki sposób kapusta kiszona jest bogata w witaminę C?
Czy można zastosować drzewo Sterna-Brocota, aby uzyskać lepszą zbieżność plików $2^m/3^n$?
Historia mody wilkołaków, część 1: lata 2000
Czy można scharakteryzować maksymalne antychainy w kategoriach sieci dystrybucyjnych?
Czy możemy wytwarzać energię elektryczną z marsjańskich burz piaskowych? Jeśli tak, czy można go użyć do zasilania kolonii?
Czy zabicie mojej homoseksualnej postaci na końcu mojej książki jest obraźliwe?
Joomla Wybierz z grupowania DB AND / OR
Przystąp do testów alfa dla nowego edytora stosów
O odrzuceniu studenta ze względu na problemy zdrowotne przez promotora doktoratu
Czy Sąd Najwyższy może uznać, że oskarżenie jest niezgodne z Konstytucją? [duplikować]
Jak duży musiałby być kod QR na moim dachu, aby satelita mógł go zeskanować przy dzisiejszej dopuszczalnej rozdzielczości?
MOC: pytanie o używanie znaku towarowego LEGO
Zasada odbicia a wszechświaty
Czy Uran może mieć stałą powierzchnię ze względu na swój wewnętrzny skład i brak wewnętrznego ciepła?
Efekt Wilsona: Jak „głębokie” są plamy słoneczne?
Usuń obramowanie wewnętrzne w type = color
Czy muszę otwierać źródło mojej aplikacji, jeśli używam niezmodyfikowanych danych API na licencji CC-BY-SA 4.0?
„Czterdzieści dni i czterdzieści nocy”
Czy istnieje podwójnie wymuszona pozycja matowa?
Kubernetes - czy można połączyć Pod.yaml i Service.yaml w jednym pliku yaml (ale bez wdrożenia)
„Nie ponoszą winy i nie umierają”
Dlaczego samoloty nie lecą wcześniej w kierunku ścieżki podejścia do lądowania?
Jak monitorować ograniczenia prędkości na drogach w średniowieczu? [duplikować]
Studium przypadku: co trzeba zrobić, aby sformułować i udowodnić argument małego obiektu Quillena w ZFC?
Jak przymocować kryształy do ​​szamana bez użycia kleju?
winforms C # .NET - Jak poprawić wydajność mojego kodu podczas korzystania z pętli (for, foreach, etc…) [zamknięte]
Jak wyświetlić listę moich zadań K8s za pomocą złożonego LabelSelectora przez client-go?
Puzzle przesuwne 3 x 2
Mojżesz pierwsza grupa przywódców Wyjścia 18:21
Bardziej szczegółowe omówienie incydentu związanego z bezpieczeństwem z maja 2019 r .: opinie na blogu
Jak sprawdzić, czy tablica ma 2 lub więcej takich samych elementów? [duplikować]
Jaki jest właściwy sposób zamknięcia gniazda C # w .NET Core 3.1?
Księżyc ma odpowiednią prędkość, aby nie rozbić się o Ziemię ani nie uciec w kosmos. Jakie są szanse?
Jaka jest decyzja o toczeniu wojny w miastach?
Dlaczego marynowane owoce i warzywa nie były częścią (europejskich) racji żywnościowych w Erze Żagli?
Zapytaj o pozwolenie [przedrostek] [wrostek] [przyrostek]. Co [w całości]?
Użycie niezwykłego hebrajskiego słowa oznaczającego „świecił” w Księdze Wyjścia
java: pobierz liczbę wszystkich odrębnych kluczy i wartości w Map <String, Set <String>> [duplicate]
Nginx proxy do Tomcat z SSL
Regex_search c++
Jakie są największe przeszkody w uzyskaniu RL w produkcji?
Pobieranie wartości href pola Link elementu Link w scriban [duplikat]
Udowodnij, że sekwencja $\{a_n\}_n$zdefiniowany przez $a_1=-\frac14$oraz $-a_{n+1}=\frac{a_na_{n+1}+4}4$jest zbieżny i znajdź jego granicę.
Jak uzyskać określony tekst należący do klasy DIV
Jak usunąć pierścienie Saturna?
Jaka jest macierz logarytmu operatora pochodnej ( $\ln D$)? Jaka jest rola tego operatora w różnych dziedzinach matematycznych?
Grupuj listę według elementów listy zagnieżdżonej [duplikat]
5 kreatywnych technik pisania, które prowadzą do ciekawych artykułów
5 kreatywnych technik pisania, które prowadzą do ciekawych artykułów
Chatbot do kontroli zasobów
Chatbot do kontroli zasobów
Cisza
Cisza
Zaufanie swojemu pierwszemu instynktowi w związku jest niezbędne
Zaufanie swojemu pierwszemu instynktowi w związku jest niezbędne
Co budujemy w 2020 roku
Co budujemy w 2020 roku
Zwiększenie precyzji pomijania błędów przepływu
Zwiększenie precyzji pomijania błędów przepływu
Najpopularniejsze języki programowania dla inżynierów AI w 2020 roku
Najpopularniejsze języki programowania dla inżynierów AI w 2020 roku
Powody, dla których warto wybrać PyTorch do głębokiego uczenia
Powody, dla których warto wybrać PyTorch do głębokiego uczenia
Samantha Lazar
Samantha Lazar
Wir roku
Wir roku
Zaproszenie
Zaproszenie
Dwa repozytoria Pythona do wizualizacji tekstu
Dwa repozytoria Pythona do wizualizacji tekstu
Jak najlepiej to wykorzystać: Hybrydowy projekt UX aplikacji
Jak najlepiej to wykorzystać: Hybrydowy projekt UX aplikacji
Powiadomienia i alarmy w Flutter
Powiadomienia i alarmy w Flutter
6 rzeczy, których nauczyłem się od Brendona Burcharda
6 rzeczy, których nauczyłem się od Brendona Burcharda
Wysoce produktywni ludzie mają rytuał poranny
Wysoce produktywni ludzie mają rytuał poranny
Do południa zrób to, co jest dla ciebie najważniejsze
Do południa zrób to, co jest dla ciebie najważniejsze
Dlaczego nie powinieneś brać rzeczy do siebie
Dlaczego nie powinieneś brać rzeczy do siebie
5 rzeczy wspólnych dla wielkich osiągnięć
5 rzeczy wspólnych dla wielkich osiągnięć
Halloween w widmie
Halloween w widmie
Jestem dorosłym autyzmem i nienawidzę Halloween
Jestem dorosłym autyzmem i nienawidzę Halloween
Nigdy nie myślałem, że przytaknę z aprobatą z powodu przyzwoitości George'a W. Busha
Nigdy nie myślałem, że przytaknę z aprobatą z powodu przyzwoitości George'a W. Busha
Pojawienie się zdecentralizowanych finansów
Pojawienie się zdecentralizowanych finansów
Wizualizacja gwałtownego rozwoju DeFi w 2020 roku
Wizualizacja gwałtownego rozwoju DeFi w 2020 roku
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved