Cập nhật phân tích khả năng bất khả xâm phạm của Koa.js

Nov 26 2022
Cách đây không lâu, tôi đã viết về một lỗ hổng ảnh hưởng đến Koa.js vào năm 2018.

Cách đây không lâu, tôi đã viết về một lỗ hổng ảnh hưởng đến Koa.js vào năm 2018. Tôi đã rất thất vọng vì phải xử lý một vấn đề từ năm 2018 trong khi ngày là năm 2022 và tôi đang sử dụng phiên bản Koa mới nhất. 4 năm đã trôi qua. Đó là một thời gian dài. Chắc chắn vấn đề không còn nữa!? Và nó đã và không cùng một lúc. Điều đó có nghĩa là tôi đã sai và đúng cùng một lúc. Vì vậy, đây là bản cập nhật cho bài viết trước để cho bạn biết cách thực hiện:

  • Tôi đã cáo buộc sai Sonatype và Dependency Track không hoạt động với thông tin phiên bản trong các trường hợp cụ thể
  • Tôi có thể đúng và sai cùng một lúc về một lỗ hổng

Chỉ mục OSS có Thông tin Phiên bản

Nếu bạn đã đọc bài viết trước của tôi, bạn có thể nhớ rằng tôi đã kết luận rằng vấn đề không ảnh hưởng đến tôi. Tin tốt là tôi đã đúng. Tin xấu là tôi đã buộc tội sai Sonatype về việc không có số phiên bản trong dữ liệu do Chỉ mục OSS cung cấp để Theo dõi phụ thuộc hoạt động. Hóa ra họ có thông tin. Nó chỉ không hiển thị ở nơi mà tôi mong đợi nó sẽ hiển thị. Xem ảnh chụp màn hình bên dưới được chụp vào ngày 22/11/2022.

Thiếu thông tin về các phiên bản bị ảnh hưởng

Rất có khả năng Theo dõi phụ thuộc (DT) không hoạt động chính xác với những gì được hiển thị trên trang ở trên, nhưng tôi không quan tâm đến việc kiểm tra xem dữ liệu mà DT tìm nạp từ Chỉ mục OSS trông như thế nào. DT chỉ hiển thị một liên kết đến Chỉ mục OSS, nơi tôi có thể tìm hiểu thêm. Tôi đã nhấp và hạ cánh trên trang này.
Hôm nay Sonatype đã thông báo cho tôi rằng số phiên bản đã có sẵn; Tôi phải tìm nơi khác. Thật vậy, nếu bạn đăng nhập vào tài khoản của mình và tìm kiếm Koa hoặc nhấp vào nút “Xem chi tiết về koa” trong ảnh chụp màn hình ở trên, thì bạn có thể tìm thấy nó. Xem ảnh chụp màn hình bên dưới.

Koa theo phiên bản và bộ đếm lỗ hổng cơ bản

Vì vậy, tôi đã sai. Sonatype có thông tin trong cơ sở dữ liệu. Sau đó, vấn đề là với lớp trình bày. Sẽ tốt hơn nếu họ liệt kê các phiên bản bị ảnh hưởng trên trang nơi lỗ hổng thực sự được thảo luận để chúng tôi có thể xem và xác minh nếu cần.

Tôi đã buộc tội nhầm Sonatype OSS Index không có thông tin phiên bản. Tôi cũng đã cáo buộc sai Theo dõi phụ thuộc sẵn sàng báo cáo hoàn toàn dựa trên tên phụ thuộc nếu không có thông tin phiên bản. (Tôi vẫn cần tìm hiểu xem điều sau là đúng hay sai, tôi đã không kiểm tra.)

Đừng bỏ cuộc! Những điều thú vị hơn để thảo luận là lỗ hổng thực tế và (hy vọng là) những thay đổi sắp tới đối với báo cáo lỗ hổng trong Chỉ mục OSS. Hãy bắt đầu với lỗ hổng.

Tập lệnh chéo trang

Sonatype gán XSS cho Koa dựa trên quá trình suy nghĩ dưới đây.

Koa là thực thể đang ghi URL vào phản hồi HTML, không phải nhà phát triển sử dụng Koa

Hoàn toàn hợp lý khi mong đợi nhà phát triển xác thực URL được cung cấp, có khả năng dựa trên danh sách cho phép, để ngăn chuyển hướng mở chứ không phải Koa vì Koa sẽ không biết bạn muốn cho phép hay không cho phép URL nào. Tuy nhiên, với tư cách là nhà phát triển, tôi không nghĩ mình phải lo lắng về việc thực hiện khử trùng XSS cho một URL mà tôi đang chuyển sang phương thức redirect().

Koa dường như quan tâm đến XSS trong bối cảnh này vì họ đã có mã ở đó để ngăn chặn nó, thực thể HTML mã hóa URL khi họ ghi nó vào HTML

Tôi đồng ý ở một mức độ nào đó. Tôi không đồng ý với điều sau đây, chẳng hạn.

Tôi không nghĩ rằng mình phải lo lắng về việc làm sạch XSS cho một URL mà tôi đang chuyển sang phương thức redirect()

Nếu bạn chuyển một URL an toàn, hợp lệ tới một phương thức chuyển hướng mà bạn (nhà phát triển) đã cung cấp, thì bạn không phải lo lắng về XSS (rõ ràng). Nếu bạn chuyển toàn bộ hoặc một phần dữ liệu do người dùng cung cấp, đó là điều bạn luôn phải lo lắng, cho dù bạn là nhà phát triển hay chuyên gia bảo mật. Tuy nhiên, không quá xa vời khi mong đợi Koa giúp đỡ nhà phát triển.

Hãy để tôi đưa cho bạn một ví dụ tuyệt vời mà hy vọng sẽ giúp bạn hiểu tôi đến từ đâu. Trong ví dụ bên dưới, tôi chuyển dữ liệu do người dùng cung cấp trở lại trình duyệt trong phần nội dung phản hồi. Tôi làm điều này mà không cần bất kỳ xác thực, khử trùng hoặc mã hóa nào.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Hãy suy nghĩ về những gì và cách tôi chuyển đến trình duyệt trong nội dung phản hồi
  • Xem xét (và có lẽ tốt nhất là kiểm soát rõ ràng!) giá trị của tiêu đề Kiểu nội dung cho phản hồi
  • Biết rằng Koa, theo mặc định, tự động điều chỉnh giá trị của tiêu đề Loại nội dung dựa trên giá trị được chuyển đến ctx.body. (Ví dụ aaa, hãy thử chuyển vào và xem nó thay đổi như thế nào)

Xem xét ctx.bodyví dụ “XSS” ở trên, có vẻ như chúng tôi đang đổ lỗi cho Koa vì đã thực hiện các biện pháp cụ thể để ngăn chặn thảm họa khi sử dụng ctx.redirect(). Trích dẫn Sonatype một lần nữa:

Koa dường như quan tâm đến XSS trong bối cảnh này vì họ đã có mã ở đó.

Điều này có nghĩa là nếu Koa không quan tâm đến XSS trong bối cảnh này, tương tự như cách họ không (và không nên) quan tâm đến nó khi nói đến ctx.body, thì sẽ không ai đánh dấu nó là lỗ hổng XSS? Điều đó khá hài hước. Tôi nhận thấy một số điểm tương đồng với phân tích trước đây của tôi về Formidable được ghi lại ở đâyở đây .

Như đã nói bất cứ điều gì tôi đã nói cho đến nay, một XSS tình cờ ở đó… và không phải cùng một lúc. Làm thế nào là có thể? Giản dị! Nó ở đó, nhưng bạn không thể khai thác nó trừ khi:

  1. Nạn nhân sử dụng một trình duyệt web cũ, VÀ
  2. Có một chuyển hướng mở do nhà phát triển triển khai bằng cách sử dụng ctx.redirect()AND của Koa
  3. Nhà phát triển hoàn toàn tin tưởng vào tất cả dữ liệu do người dùng cung cấp và chuyển nó nguyên văn choctx.redirect()

Trang báo cáo của Sonatype cho biết như bạn có thể thấy từ ảnh chụp màn hình ngày hôm nay, “Mở chuyển hướng dẫn đến Cross-Site Scripting”. Bài đăng trước của tôi đã đặt câu hỏi về phần "chuyển hướng mở":

Trước hết, không có chuyển hướng mở. Nó chỉ mở nếu bạn mở nó và sự khác biệt giữa hai PoC (bản gốc và của tôi) cho thấy rõ điều này.

Sonatype cũng đồng ý rằng Koa không chịu trách nhiệm ngăn chặn các chuyển hướng mở. Mối quan tâm chính của họ, mối quan tâm của tôi và mọi người khác là XSS. Bắt liên quan đến chuyển hướng mở chỉ là khó hiểu. Đồng thời, nó không phải là vô lý về mặt kỹ thuật, như chúng ta sẽ thấy sau. (Nó cũng sẽ ảnh hưởng đến việc chấm điểm lỗ hổng.)

Như đã đề cập trước đó, việc khai thác thành công hành vi của Koa yêu cầu chuyển hướng mở. Nhưng mà:

  • Koa không chịu trách nhiệm ngăn chặn các chuyển hướng mở (như đã kết luận trước đó)
  • Koa sẽ không thực thi ctx.redirect()nếu không có sự cho phép của nhà phát triển
  • Koa không buộc các nhà phát triển sử dụng chuyển hướng

Vì vậy, có một lớp bảo vệ khác: các trường hợp sử dụng. Khả năng một nhà phát triển không muốn kiểm soát nơi trình duyệt được chuyển hướng là bao nhiêu? Rất khó xảy ra. Điều này có nghĩa là rất có thể các nhà phát triển sẽ chuyển dữ liệu do người dùng kiểm soát để ctx.redirect()nối vào một đoạn chuỗi khác. Vì vậy, điều gì đó tương tự như các ví dụ được hiển thị bên dưới có nhiều khả năng xảy ra nhất:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Điểm dễ bị tổn thương

Phải có ba (3) điều kiện đáp ứng để lỗi có thể bị khai thác, như đã thảo luận ở cuối phần trước.

  • Phiên bản trình duyệt nào được sử dụng tùy thuộc vào người dùng cuối
  • Việc sử dụng phương pháp chuyển hướng và cách sử dụng tùy thuộc vào nhà phát triển

Điều cũng cần nhấn mạnh là việc sử dụng phương pháp chuyển hướng theo cách không an toàn là vectơ tấn công. Một vectơ tấn công là cần thiết để khai thác thành công. Koa không cung cấp vectơ tấn công; nhà phát triển làm.

Hãy tương quan điều này với định nghĩa về “Lỗ hổng phần mềm” do NIST cung cấp:

https://csrc.nist.gov/glossary/term/software_vulnerability

Phần tôi muốn nhấn mạnh là “có thể bị khai thác”. Lấy Koa làm thư viện phần mềm. Bạn có thể khai thác nó mà không cần tạo vectơ tấn công cần thiết trước không? Không. Vì vậy, từ quan điểm của Koa, một thư viện phần mềm, không có vectơ tấn công nào được trình bày; không có điều đó, việc khai thác là không thể. Nếu chúng tôi giải thích định nghĩa một cách chặt chẽ (mà tôi làm), chúng tôi không thể gọi hành vi của Koa là một lỗ hổng.
Hãy thử tính điểm CVSS mà không cần vectơ tấn công:

Tính điểm CVSS không có vectơ tấn công

Không có điểm nếu không có vectơ tấn công. Tôi muốn nói rằng điều này phù hợp với định nghĩa về Lỗ hổng phần mềm do NIST cung cấp.
Hãy thử nghiệm và tạo ra một kịch bản tưởng tượng có tồn tại véc tơ tấn công.

Vectơ tấn công hư cấu

Vẫn còn một số vấn đề ở đây, ngoài vectơ tấn công tưởng tượng. Độ phức tạp của cuộc tấn công được đặt thành Cao vì việc khai thác thành công yêu cầu một trình duyệt cũ. Kẻ tấn công phải thuyết phục nạn nhân tải xuống và cài đặt một trình duyệt cũ.
Theo nghĩa đó, Tương tác của người dùng là bắt buộc, mặc dù các số liệu cơ sở về Tương tác của người dùng không thực sự nói về điều đó. Trong trường hợp này, việc khai thác XSS có yêu cầu tương tác của người dùng hay không tùy thuộc vào cách Ứng dụng web sử dụng chuyển hướng chứ không phải trên Koa. Điều đáng nói nữa là JavaScript được đưa vào sẽ không tự thực thi vì nó yêu cầu tương tác của người dùng ngay từ đầu: nhấp vào liên kết trong phản hồi HTML.

Vì vậy, những gì chúng ta có thể làm để buộc điểm dễ bị tổn thương về điều này? Chúng ta phải chọn một cái gì đó. Mơ tưởng, giả định điều tồi tệ nhất, bất cứ điều gì bạn thích. Có một điều chắc chắn là bạn đang thực hiện một phép tính mà ngay từ đầu bạn không được phép làm, và kết quả khác xa với thực tế đến mức tôi thậm chí không thể tìm ra từ ngữ để diễn tả nó.

Điều quan trọng tiếp theo là Số liệu tác động. Bạn phải biết Ứng dụng web sắp nói lên tác động gì. Nhưng chúng tôi không tính toán điểm dễ bị tổn thương cho Ứng dụng web... Dựa vào ngữ cảnh, XSS này không ảnh hưởng đến Koa. Koa không tự xử lý hoặc xử lý thông tin bí mật. Lỗi này không ảnh hưởng đến tính khả dụng hoặc tính toàn vẹn. Điều đó để lại cho chúng tôi số điểm cuối cùng là 0,0, ngay cả sau khi buộc một vectơ tấn công vào tính toán.

Vì vậy, câu hỏi là, chúng ta báo cáo sự thật hay hư cấu?

Sonatype đã lưu ý đến tôi hướng dẫn chính thức về Chấm điểm lỗ hổng trong Thư viện phần mềm , được phát hành vào năm 2019 cùng với CVSSv3.1. Tôi thừa nhận rằng tôi không biết về nó, điều đó vừa tốt vừa xấu. Tốt vì nó có thể dẫn đến một bài viết chỉ trích, tệ vì có lẽ nếu tôi nhìn thấy nó sớm hơn, tôi đã mất hết hy vọng trước khi tôi nỗ lực hết sức để giải thích rằng đó không phải là cách đúng đắn để giải quyết vấn đề đó. Vì vậy, hướng dẫn chính thức nói gì?

Khi chấm điểm tác động của lỗ hổng bảo mật trong thư viện… Nhà phân tích nên chấm điểm cho tình huống triển khai hợp lý trong trường hợp xấu nhất. Khi có thể, thông tin CVSS nên trình bày chi tiết các giả định này.

Vì vậy, câu trả lời là việc chấm điểm lỗ hổng dựa trên hư cấu.

Ngoài ra, " kịch bản triển khai hợp lý trong trường hợp xấu nhất" là gì? Nếu chúng tôi phân tích nhiều dự án đã sử dụng Koa và nhận thấy rằng hầu hết các nhà phát triển đã triển khai chuyển hướng mở bằng ctx.redirect()phương pháp của Koa, thì có thể hợp lý khi giả định điều tồi tệ nhất. Tôi đã tìm kiếm mã nhanh trong các dự án JavaScript ctx.redirect(trên GitHub. Tôi nhận được 16.827 kết quả mã. Tìm kiếm context.redirect(tôi nhận được 15.751 kết quả mã. Đó sẽ là 32.578 kết quả mã để phân tích. Một số trong số này sẽ sử dụng Koa, một số Express và một số có thể là thứ khác. (Tất nhiên, bối cảnh có thể được gọi bằng bất kỳ tên nào, không chỉ ctxhoặc context, vì vậy thậm chí có thể có nhiều mã hơn để xem xét.)

Câu hỏi đặt ra là: việc truyền dữ liệu do người dùng cung cấp một cách vô thức để chuyển hướng có phổ biến như vậy không? Tôi đã sử dụng phương pháp phân tích bán tự động bằng cách viết một tập lệnh nhỏ để kiểm tra tất cả các dự án phù hợp với tiêu chí tìm kiếm. Thật không may, tôi không thể vượt qua 1.000 lượt truy cập đầu tiên vì GitHub đã từ chối các yêu cầu tiếp theo:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Dựa trên những gì tôi đã thấy và xem xét những gì được thảo luận trong phần tiếp theo (“Trình duyệt web cũ”), tôi không tin rằng việc giả định triển khai trong trường hợp xấu nhất là hợp lý. Không phải trong trường hợp cụ thể này.

Hướng dẫn chính thức cũng nói rằng:

Khi chấm điểm một lỗ hổng trong một triển khai cụ thể bằng thư viện bị ảnh hưởng, điểm phải được tính lại cho triển khai cụ thể đó.

Điều này là hợp lý và giảm thiểu khía cạnh khoa học viễn tưởng của tình huống ở một mức độ nào đó. Đây là cách vấn đề Koa này, với điểm dễ bị tổn thương là 9,8, cuối cùng lại là 0,0 trong trường hợp của chúng tôi.

Điều tốt là Sonatype đồng ý rằng điểm dễ bị tổn thương 9,8 là không hợp lý và họ sẵn sàng giảm nó. Tôi đánh giá cao nó, và có lẽ nhiều người khác cũng sẽ như vậy.

Ngoài ra, Sonatype nói với tôi rằng khi họ thêm vấn đề vào hệ thống của mình, họ tin rằng sẽ tốt nhất nếu khách hàng của họ biết về tình huống bất ngờ có thể xảy ra này. Họ nói, “thà cảnh giác còn hơn bỏ qua những gì chúng ta đã thấy và có khả năng dẫn đến kết quả tiêu cực”. Và, tất nhiên, họ đã đúng.

Tôi chưa bao giờ đặt câu hỏi liệu các vấn đề bảo mật có nên được thông báo hay không. Có, các vấn đề bảo mật phải được hiển thị. Điều tôi quan tâm là làm thế nào những vấn đề này được truyền đạt:

  • Có thích hợp để gọi một cái gì đó là một lỗ hổng hay thích hợp hơn để gọi nó là một điểm yếu bảo mật hoặc hành vi mặc định không an toàn, v.v.?
  • Điểm dễ bị tổn thương được chỉ định có hợp lý không?
  • Có đủ chi tiết và ngữ cảnh được cung cấp không?

Bây giờ hãy nói về các trình duyệt web cũ một chút.

Trình duyệt web cũ

Nếu không có những người tốt của Sonatype, tôi sẽ không bao giờ nghĩ về các trình duyệt web cũ, có lẽ là không bao giờ nữa.

Tôi cũng sẽ tiếp tục không xem xét các trình duyệt cũ trong tương lai. Trước hết, có quá nhiều điều cần lưu ý; Tôi không thể lo lắng về các trình duyệt web cũ. Thứ hai, ( đừng nhấp vào liên kết nếu bạn không có khiếu hài hước! ) một trình duyệt web cũ bao nhiêu tuổi ? "Cũ" thực sự có nghĩa là gì? Nếu bất kỳ ai chỉ sử dụng trình duyệt ~1 năm tuổi, rất có thể họ đã gặp sự cố lớn hơn nhiều so với XSS.

Tuy nhiên, tôi đã thực hiện một số hoạt động đào bới và thấy rằng:

  • Google Chrome 48.0.2564.109 (64-bit) từ năm 2016 (!) thậm chí không hiển thị nội dung phản hồi. Vì vấn đề Koa đã được tìm thấy vào năm 2018, tôi nghĩ rằng quay trở lại năm 2016 là đủ, nhưng hóa ra không phải vậy.
  • Firefox 4.0 từ năm 2011 đã hiển thị nội dung phản hồi, nhưng nó yêu cầu người dùng nhấp vào liên kết để tải trọng JavaScript thực thi. (Tất nhiên, đó là một liên kết!)
  • Firefox 52.0 từ năm 2017, 1 năm trước khi sự cố Koa XSS được báo cáo, đã không hiển thị nội dung phản hồi với tải trọng JavaScript. Firefox vừa báo lỗi "Lỗi nội dung bị hỏng" do "vi phạm giao thức mạng".

Tuy nhiên, Koa 0.0.1 đã được phát hành vào năm 2013, vì vậy đã có một vài năm vấn đề có thể bị khai thác. Do đó, có thể chấp nhận gắn cờ vấn đề này (vẫn không có điểm 9,8) cho đến Koa 2.5.0 vào năm 2018. Tuy nhiên, sau đó, không có gì biện minh cho bất kỳ điều gì trên 1.0.

Trong khi tôi đang đào bới, tôi đã tìm thấy một điều thú vị trên Wikipedia . Hãy để tôi trích dẫn:

Firefox 15 được phát hành vào ngày 28 tháng 8 năm 2012… Firefox 15 đã giới thiệu các bản cập nhật im lặng, một bản cập nhật tự động sẽ cập nhật Firefox lên phiên bản mới nhất mà không cần thông báo cho người dùng, [65] một tính năng mà trình duyệt web Google Chrome và Internet Explorer 8 trở lên có đã được thực hiện

Vì vậy, tất cả các trình duyệt web chính đều có tính năng tự động cập nhật trước khi phiên bản đầu tiên của Koa được phát hành, điều đó có nghĩa là rất có thể phần lớn người dùng đang sử dụng trình duyệt web cập nhật. Hãy xem trạng thái tại thời điểm “vụ nổ lớn”: 2013.

  • Firefox 15 : Đã trả về lỗi "Lỗi nội dung bị hỏng", nghĩa là nội dung phản hồi không được hiển thị cho người dùng.
  • Chrome 24.0.1312 (WebKit 537.17) : Nó không hiển thị bất kỳ nội dung phản hồi nào. Trong khi xem tab mạng của các công cụ dành cho nhà phát triển, hầu như không có gì hiển thị, vì vậy tôi phải chạy Wireshark để xem trình duyệt có thực hiện yêu cầu ngay từ đầu hay không. Trong Wireshark, có thể thấy rằng Chrome đã liên hệ với dịch vụ PoC của tôi và nhận được phản hồi với tải trọng JavaScript. Nó không hiển thị nội dung phản hồi. Thậm chí tốt hơn, không có gì xảy ra.
  • Internet Explorer 11 (11.0.9600.19180) : Nó đã tìm nạp phản hồi từ dịch vụ PoC của tôi mà tôi đã xác minh bằng Wireshark. Nó không hiển thị nội dung phản hồi cho người dùng. Nó trở lại với trang lỗi tích hợp, cổ điển có nội dung: “Không thể hiển thị trang này”.

Sau khi thực hiện nghiên cứu trên, chúng ta hãy quay lại trích dẫn từ Sonatype trong giây lát:

Koa dường như quan tâm đến XSS trong bối cảnh này vì họ đã có mã ở đó để ngăn chặn nó, thực thể HTML mã hóa URL khi họ ghi nó vào HTML

Mặc dù tuyên bố này đúng, nhưng thực tế là không có trình duyệt chính nào cho phép khai thác vào thời điểm phiên bản đầu tiên của Koa được phát hành, phần trích dẫn gợi ý điều gì đó thú vị, điều gì đó khác với điều mà câu muốn đề xuất. Xin lưu ý rằng tôi sắp viết bài phỏng đoán vì tôi không thể biết chính xác các nhà phát triển Koa đã nghĩ như thế nào. Tôi có thể dễ dàng tưởng tượng (các) nhà phát triển đã kiểm tra hành vi được đề cập bằng trình duyệt web cập nhật. Họ có thể đã thấy rằng mã hóa HTML là phù hợp vì không thể thực thi mã JavaScript được đưa vào từ thuộc hreftính củaanhãn. Điều này đặt ra một câu hỏi nghiêm túc. Đã dành hơn 5 năm qua cho mảng phát triển phần mềm, điều đó cũng áp dụng cho tôi: Là một nhà phát triển, nếu tôi sắp tạo ra một công nghệ web mới cho phía phụ trợ, tôi có nên quan tâm đến các trình duyệt web cũ không? Và nếu tôi nên, khuyến nghị chính thức từ cộng đồng bảo mật về thời gian tôi phải xem xét các trình duyệt web cũ là bao lâu? Chúng ta có nên xem xét rằng phương pháp bảo mật tốt nhất cho người dùng cuối là luôn cập nhật trình duyệt của họ và tính năng tự động cập nhật cũng có sẵn để trợ giúp điều đó không? Ngoài ra, nếu chúng tôi mong đợi các nhà phát triển ghi nhớ và thử nghiệm với các trình duyệt cũ, thì chúng tôi không thể mong đợi các chuyên gia bảo mật cũng làm như vậy và đặt tên cho tất cả các trình duyệt web và phiên bản của chúng góp phần gây ra một vấn đề cụ thể thay vì chỉ đề cập đến “các trình duyệt cũ ”? Nó sẽ chỉ là công bằng.

Một điều chắc chắn là không có gì phải lo lắng kể từ nhiều năm nay…

Trình duyệt hiện đại

Trong phân tích của tôi, sử dụng trình duyệt web của mình, tôi đã kiểm tra nội dung phản hồi và thấy nó trống. Tôi đã không kiểm tra xem phản hồi được gửi qua dây có nội dung hay không. Hóa ra chỉ có Google Chrome đã hoàn toàn bỏ qua nội dung phản hồi; do đó, nó đã không hiển thị. Điều đó là đủ tốt cho tôi. Hợp lý, tôi phải thêm.

Kể từ đó, tôi đã xem xét phản hồi của dịch vụ web thử nghiệm của mình bằng phiên bản Koa mới nhất. Chúng ta có thể thấy bên dưới có một nội dung phản hồi HTML với mã JavaScript được chèn trong đó:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Thay đổi sắp tới

Dưới đây là danh sách các bản cập nhật mà Sonatype dự định thực hiện liên quan đến vấn đề này:

  • Cập nhật dòng Tóm tắt/Tiêu đề để loại bỏ hiểu lầm (đã xảy ra)
  • Giảm điểm dễ bị tổn thương xuống 4,7 (đã xảy ra)
  • Đề cập rằng lỗ hổng bảo mật chỉ có thể bị khai thác nếu người dùng đang chạy trình duyệt cũ hơn

Những thay đổi bổ sung mà tôi muốn xem

Ngoài những thay đổi được đề cập trong phần trước, một số điều có thể được cải thiện hơn nữa. Đó là:

  • Giảm điểm dễ bị tổn thương hơn nữa, đặc biệt là đối với các phiên bản Koa được phát hành sau năm 2018.
  • Bao gồm số phiên bản của ít nhất các trình duyệt web chính và ngày phát hành của chúng trong báo cáo khi đề cập đến “các trình duyệt cũ hơn”. Điều này sẽ giúp ích đáng kể cho bất kỳ ai khi “chấm điểm một lỗ hổng trong một triển khai nhất định bằng cách sử dụng thư viện bị ảnh hưởng”. Ví dụ: nếu tôi thấy rằng một người dùng phải sử dụng trình duyệt từ năm 2011, tôi sẽ đánh dấu sự cố là “không bị ảnh hưởng” trong SCA trong vòng một giây. Đó là rất nhiều thời gian tiết kiệm.
  • Các phiên bản Koa bị ảnh hưởng sẽ được liệt kê trên trang của lỗ hổng .

Nhân tiện, Sonatype cũng đề cập rằng họ có một số kiểm tra thú vị trong sản phẩm thương mại của mình, chẳng hạn như thực hiện kiểm tra thực tế ở cấp độ mã để xem liệu một ứng dụng có bị ảnh hưởng bởi các lỗ hổng được báo cáo hay không. Điều đó nghe có vẻ gọn gàng và với tính chất khoa học viễn tưởng về cách tính điểm dễ bị tổn thương cho các thư viện, những loại kiểm tra này là bắt buộc phải có để giảm tải cho các nhóm kỹ thuật, đặc biệt nếu mọi thứ tiếp tục như thế này.

Phần kết luận

Đó là khá nhiều tất cả các bản cập nhật tôi có. Tôi rất vui vì đã liên hệ với Sonatype vì họ rất chuyên nghiệp và thân thiện. Đó là một niềm vui làm việc với họ về điều này.

Về XSS ở Koa: đó là điều mà không ai trong chúng ta nên lo lắng trong vài năm nay.

Cấu trúc dữ liệu trong JavaScript
Cấu trúc dữ liệu trong JavaScript
Dù sao thì một danh sách được liên kết là gì? [Phần 1]
Dù sao thì một danh sách được liên kết là gì? [Phần 1]
Vì vậy, hãy cho tôi biết về danh sách được liên kết
Vì vậy, hãy cho tôi biết về danh sách được liên kết
Khi tất cả những thứ khác không thành công, hãy sáng tạo
Khi tất cả những thứ khác không thành công, hãy sáng tạo
Phi thuyền của tôi ở nơi tận cùng thế giới
Phi thuyền của tôi ở nơi tận cùng thế giới
Bí đỏ và cải xoăn lasagne
Bí đỏ và cải xoăn lasagne
Không sợ thất bại, Walker Buehler bình tĩnh lập lại thành công ở ván 6 NLCS
Không sợ thất bại, Walker Buehler bình tĩnh lập lại thành công ở ván 6 NLCS
Vâng với Kell: Bạn ơi, hãy làm sạch ruột của bạn!
Vâng với Kell: Bạn ơi, hãy làm sạch ruột của bạn!
Hàng xóm của tôi
Hàng xóm của tôi
Sáng bóng
Sáng bóng
Sáng tạo như một chiếc la bàn
Sáng tạo như một chiếc la bàn
Ảnh hưởng của sợ hãi và đau buồn đối với sự sáng tạo
Ảnh hưởng của sợ hãi và đau buồn đối với sự sáng tạo
Ảnh hưởng của Cô đơn đối với Sáng tạo
Ảnh hưởng của Cô đơn đối với Sáng tạo
Nhưng nếu tôi không có nơi nào để trở về?
Nhưng nếu tôi không có nơi nào để trở về?
Nỗi đau không thể nhìn thấy
Nỗi đau không thể nhìn thấy
Cuối cùng tôi cũng bỏ được thuốc lá
Cuối cùng tôi cũng bỏ được thuốc lá
Tôi không còn cảm thấy tội lỗi vì không bị khóa-sản xuất
Tôi không còn cảm thấy tội lỗi vì không bị khóa-sản xuất
Nước Mỹ luôn là một vùng đất tàn bạo, cô đơn
Nước Mỹ luôn là một vùng đất tàn bạo, cô đơn
Đánh giá ngắn gọn về hai cảnh trong 'Borat 2'
Đánh giá ngắn gọn về hai cảnh trong 'Borat 2'
Con bạn chuyển giới cần một bác sĩ trị liệu - Và bạn cũng vậy
Con bạn chuyển giới cần một bác sĩ trị liệu - Và bạn cũng vậy
Bài học cuộc sống lịch sự của con trai chuyển giới của tôi
Bài học cuộc sống lịch sự của con trai chuyển giới của tôi
Tôi từ chối để lo lắng có tất cả sức mạnh
Tôi từ chối để lo lắng có tất cả sức mạnh
Khẩu trang Gây dị ứng, Thời trang và Những nỗi sợ hãi COVID-19
Khẩu trang Gây dị ứng, Thời trang và Những nỗi sợ hãi COVID-19
Samsung Galaxy Note 20 Ultra: Điện thoại phù hợp, Sai thời điểm
Samsung Galaxy Note 20 Ultra: Điện thoại phù hợp, Sai thời điểm
Dolly Parton tìm thấy Chúa trong một nhà thờ bỏ hoang
George Harrison buồn bã Lời bài hát 'Hurdy Gurdy Man' của Donovan không được sử dụng
Paul McCartney: Sự đau khổ đã khiến 1 bài hát trong 'White Album' của The Beatles trở nên hay
Paul McCartney đã chia sẻ điều khiến anh ấy ấn tượng nhất về John Lennon khi họ gặp nhau lần đầu
Bài hát đầu tiên của The Beatles là một trong những 'Màn trình diễn thú vị nhất' của ban nhạc, theo Fab Four Insider
Prince đã làm việc trên một bài hát của Stevie Nicks trong một giờ và kiếm được một nửa số tiền bản quyền 
Nhìn lại vai trò của Buddy Ebsen trong 'The Andy Griffith Show'
Thời điểm thích hợp nhất để tham quan phim trường 'Ngôi nhà nhỏ trên thảo nguyên'
Lời khuyên của Jimmy Page dành cho các nhạc sĩ trẻ là trực tiếp từ Cẩm nang diễn giả truyền cảm hứng
Taylor Sheridan vừa thêm 1 ngôi sao 'Yellowstone' yêu thích của anh ấy vào dàn diễn viên của 'Lawmen: Bass Reeves'
Paul McCartney tưởng tượng mẹ anh ấy sẽ phản ứng thế nào trước thành công của anh ấy
Nicole Kidman yêu thích 1 tính năng hấp dẫn mà Michael Keaton và Val Kilmer đã chia sẻ với tư cách là Người Dơi
Làm thế nào Melissa Gilbert đã cứu một con chim bằng cách bẫy nó dưới áo ngủ của cô ấy
Quentin Tarantino từng chia sẻ về nhân vật thú vị nhất mà anh ấy từng viết trong 'Pulp Fiction'
Judy Norton của 'The Waltons' nhận ra rằng cô ấy đôi khi là 'một thằng nhóc' khi quay chương trình
Brad Pitt và Harrison Ford phải tạo nên 'The Devil's Own' ngay lập tức khi 'Kịch bản bị loại bỏ'
'Vụ án kỳ lạ của Natalia Grace': Nataila, Kristine và Michael Barnett ngày nay ở đâu?
Rolling Stones: Keith Richards nổi giận bởi 1 nhóm người hâm mộ âm nhạc chỉ trích ban nhạc
Tại sao Paul McCartney được 'bảo vệ' về việc nói sự thật về The Beatles
Stevie Nicks 'Bám chặt' vào 1 bài hát của Joni Mitchell khi cô ấy cảm thấy sự nghiệp âm nhạc của mình đang thất bại
Donovan đã so sánh 1 trong số các bài hát của anh ấy với 'Lucy in the Sky with Diamonds' của The Beatles
Paul McCartney đã rất căng thẳng về buổi biểu diễn duy nhất bị hủy của The Beatles đến nỗi anh ấy đã bỏ cuộc
Paul McCartney nói rằng anh ấy 'may mắn' khi chưa bao giờ sử dụng heroin 
Bài hát của Paul Simon đã nhại lại Bob Dylan một cách hoàn hảo 
Paul McCartney đã phản ứng như thế nào với tiêu đề 'Lucy in the Sky with Diamonds' của The Beatles
'Đừng ngủ trong tàu điện ngầm' Petula Clark bối rối
Billy Crystal và Robin Williams quảng cáo toàn bộ Cameo 'Những người bạn' của họ
Christopher Nolan từng hối hận khi đọc 'Kịch bản tiểu thuyết Pulp' của Quentin Tarantino
Bài hát của The Beatles Peter Asher được gọi là 'Bài hát hay nhất tôi từng nghe'
MIA từng tấn công 'Give Peace a Chance' của John Lennon
John Lennon đã nói 1 dòng trong 'Revolution' của The Beatles đã bình luận về cảnh sát
'Cậu bé gặp gỡ thế giới': Tại sao ông Turner biến mất khỏi sê-ri?
David Bowie gần như đã viết một vở nhạc kịch bao gồm các bài hát giả của Bob Dylan
Sam Heughan biết chính xác những gì anh ấy sẽ lấy từ bộ 'Outlander' - 'Tôi cảm thấy như mình là Jamie khi tôi mặc chúng'
Paul McCartney đã nói một 'Sgt. Bài hát của Pepper không phải về Heroin
Dolly Parton đã giúp đỡ bà nội 'không hợp lệ' của cô ấy khi không có đứa cháu nào khác muốn—bà ấy cũng chơi khăm bà ấy
Winona Ryder từng chia sẻ rằng tất cả các nhân vật của cô ấy đều được viết là 'Cô gái xấu xí' trước đó trong sự nghiệp của cô ấy
'My Way' của Frank Sinatra không lớn bằng 'Old MacDonald' của anh ấy
John Ritter đã chết như thế nào: Nhìn lại cái chết của nam diễn viên 'Three's Company'
Sự nghiệp diễn xuất của Bradley Cooper đang trên đà phát triển khi anh ấy hợp tác với Julia Roberts trong dự án này
Ban đầu 'Sympathy for the Devil' của The Rolling Stones giống như nhạc Brazil
John Lennon đã chia sẻ lý do tại sao 'The Tonight Show' là chương trình 'đáng xấu hổ nhất' mà anh ấy từng tham gia
Ringo Starr từ chối chơi với bản nhạc nhấp chuột và nó khiến anh ấy trở thành một tay trống giỏi hơn
Jana Duggar: Tất cả những gì cô ấy nói về tình yêu và khoảng thời gian 5 năm để tìm 'một nửa' của cô ấy
Gene Simmons cho biết truyện tranh KISS có khả năng “tái tạo loài người
Petula Clark cho biết 'Downtown' đã tiết lộ một bài hát tuyệt vọng
Paul McCartney nói "Khi tôi 64 tuổi" của The Beatles là một trò đùa
Người quản lý Led Zeppelin Peter Grant đã thấy một ban nhạc giả giành được giải Grammy trước Zep
The Secrets of Airline Travel Quiz
Độ ẩm là gì và độ ẩm ảnh hưởng đến nhiệt độ như thế nào?
Chief Plenty Coups: Nhà lãnh đạo có tầm nhìn xa và Người bảo vệ Tổ quốc Crow
Sự khác biệt giữa Dân chủ và Cộng hòa là gì?
Nhóm người Samaritans tí hon vẫn thực hành tôn giáo cổ xưa của họ
Thuốc độc là gì và Twitter của sẽ giữ Elon Musk ở lại vịnh?
Cuộc tẩu thoát tuyệt vời! 5 động vật hoang dã phóng sinh và chạy trên đường chạy
Tại sao Sriracha là nước sốt yêu thích của mọi người
Hạn hán, biến đổi khí hậu đe dọa tương lai của thủy điện Hoa Kỳ
Suy nghĩ khách quan so với chủ quan và ứng dụng
Elon Musk Sở hữu Twitter. Cái gì có thể đi sai?
Bọ ngựa phong lan trông như hoa, 'đốt' như ong
1.500 đô la hôm nay Mua thẻ Yellowstone Pass với giá 2172
Sự khác biệt giữa men khô tức thì và men hoạt động là gì?
Tại sao Hoa Kỳ không có Hệ thống Khai thuế 'Miễn thuế'?
Bạn có cần phải có thái độ tích cực để đánh bại ung thư không?
5 trích dẫn hùng hồn và lâu dài từ Maya Angelou
Làm thế nào để thoát khỏi ruồi cống rãnh
Có lẽ bạn có thể quá gầy? Gặp gỡ Tòa nhà chọc trời gầy nhất thế giới
Quyên góp tóc của bạn để giúp giữ nước sạch của chúng tôi
Budgies là siêu xã hội và trở thành thú cưng tuyệt vời
Các khách sạn côn trùng Trải tấm thảm chào đón cho tất cả các loại bọ
Reign of Terror: Câu chuyện bị lãng quên về những vụ giết người của bộ tộc Osage
Bạn Có Ăn Casu Marzu, Phô Mai Bất Hợp Pháp Có Giòi Không?
Martha Mitchell: Người phụ nữ đã biết quá nhiều về Watergate
Where in the World Are You? Take our GeoGuesser Quiz
Nhà máy điện ảo có thể giúp ổn định lưới năng lượng của Hoa Kỳ không?
Nhìn lại những đám cưới đáng nhớ nhất của Nhà Trắng
W Boson mới đo có thể phá vỡ mô hình chuẩn không?
Nhòe là gì, và nó có thể làm sạch một không gian năng lượng tiêu cực không?
8 công dụng tuyệt vời của Baking Soda và Giấm
Nấu ăn cảm ứng tốt hơn gas hay điện?
Loại Bưởi Ngọt Ngào Nhất - Trắng, Đỏ hay Hồng?
Hügelkultur: Tạo loại đất hoàn hảo cho khu vườn của bạn
Câu chuyện bi thảm đầy cảm hứng của Sophie Scholl, sinh viên thách thức Hitler
Người tị nạn Ukraine có thể không bao giờ trở về nhà, kể cả sau khi chiến tranh kết thúc
Cụm từ "On the Lam" đến từ đâu?
Tại sao các công ty lớn như Tesla và Amazon lại chia tách cổ phiếu
Thời gian có thể không tồn tại, nói một số nhà vật lý và triết học
Venice Biennale là 'Thế vận hội của Nghệ thuật'
Pripyat: Thị trấn ma Ukraine trong Bóng tối của Chernobyl
Ngọn núi cao nhất trong hệ mặt trời cao hơn nhiều so với Everest
Chỉ 50 người sống trên đảo Pitcairn, một trong những nơi đáng nhớ nhất trên trái đất
Bướm đêm Atlas là một con Bướm đêm, cùng với 5 sự thật khác
Cách khôi phục cài đặt gốc cho iPhone của bạn
Hagfish: Máy làm chất nhờn giống lươn này là cơn ác mộng của động vật ăn thịt
Pontius Pilate là ai, trước và sau khi Chúa Giêsu bị đóng đinh?
Diệt chủng là gì, và Nga có phạm tội ở Ukraine không?
Thăm dò ý kiến: Đảng Dân chủ dẫn trước Trump dù họ thay thế Biden bằng Biden, Biden hay Biden
Cơn cuồng loạn khóa máy bằng cưa máy của Cate Blanchett đã đưa cô đến Borderlands
Cháu gái của Luther Vandross có điều gì đó muốn nói về cuộc phỏng vấn đau lòng sau cơn đột quỵ của ông với Oprah Winfrey
Land Rover Defender Octa là quái thú 626 mã lực sắp ra mắt cho những chiếc Raptors của thế giới
Biden vỗ tay phản đối phán quyết miễn trừ Trump của Tòa án tối cao, chỉ ra mối nguy hiểm của quyền lực không được kiểm soát
My Elden Ring: Shadow Of The Erdtree Người chơi triệu hồi, xếp hạng
Simone Biles có thể giúp SZA sẵn sàng cho Thế vận hội không?
Đức Thánh Cha Phanxicô phê chuẩn vị thánh đầu tiên của thiên niên kỷ
Một số người hâm mộ Mortal Kombat lo lắng trò chơi mới nhất đã chết, nhưng nó có thể phức tạp hơn
BMW không muốn xe bị đốt trong hãng xe được rao bán
Các lỗi mã nguồn mở mới khiến hàng nghìn ứng dụng iOS dễ bị tấn công
Xe tải giao hàng Amazon bốc cháy trong vụ nổ rực lửa trong cái nóng mùa hè ở Houston
Boeing muốn mọi người vui lòng ngừng nói rằng cuộc thử nghiệm ISS của Starliner là một vụ phá sản
Hỗn loạn đáng sợ khiến người đàn ông bay vào thùng rác trên cao trong video lan truyền
Một người đàn ông ở Louisiana đã gửi một cảnh báo lạnh lùng trước vụ phạm tội
Bây giờ bạn có thể sở hữu bộ bikini mang tính biểu tượng nhất của khoa học viễn tưởng
AI khai thác giọng nói của người nổi tiếng đã chết để đọc cho bạn tệp PDF hoặc bất cứ thứ gì
Một trong những ý tưởng về Deadpool 3 bị từ chối của Ryan Reynolds là một chuyến đi độc lập
Đây là lý do tại sao Eddie Murphy bị 'buộc' phải thay đổi điệu cười nổi tiếng của mình
Vợ của Zelensky thực sự không mua một chiếc Bugatti Tourbillon bất chấp những tuyên bố tuyên truyền của Nga
Eddie Murphy đang trình bày mọi thứ trong chuyến lưu diễn báo chí tại Beverly Hills Cop: Axel F
Đạo diễn Twister không nhận được cảnh báo lốc xoáy về Twister
Tôi đang cầu xin 14 người chơi Final Fantasy chỉ đọc đoạn hội thoại trong Dawntrail
Bạn có nhớ khi hãng hàng không Hà Lan bỏ 440 con sóc vào máy hủy tài liệu khổng lồ?
Tòa án tối cao ra phán quyết Trump có quyền miễn trừ đối với mọi tội phạm được thực hiện từ 9 đến 5 tuổi
Xem Motorweek Test The Sterling, một người Anh bị lãng quên đối đầu với huyền thoại Acura
Với mức giá 9.800 USD, bạn có muốn 'dọn đồ' trong chiếc Toyota RAV4 2008 bảy chỗ này không?
Bạn có muốn một chiếc Corvette nhưng lại ước nó trông thật khủng khiếp? Này cậu bé, chúng tôi có xe cho cậu không?
Tòa án Tối cao xét xử các tranh luận về việc liệu Luật Texas có thể xác định thói quen khiêu dâm của bạn hay không
Hãy tự giúp mình và đi xem sự kiện chạy tốc độ hay nhất trong năm
Ngăn chặn con mèo của bạn làm trầy xước đồ nội thất bằng những chiến lược dựa trên khoa học này
Không tốt: Bão Beryl là cơn bão cấp 5 sớm nhất trong lịch sử được ghi lại
Lý do hoang đường Số phận của tên du côn trẻ trong phiên tòa YSL Rico sẽ kéo dài hơn dự kiến
Đánh giá của Beverly Hills Cop: Axel F: Eddie Murphy dễ dàng vượt qua sự trở lại không phức tạp của Netflix
RIP Robert Towne, nhà biên kịch từng đoạt giải Oscar của Chinatown
Rapper nổi tiếng trên YouTube và thuật sĩ TikTok nổi tiếng tham gia vào trận đấu lan truyền
Tài xế có thể lật Tesla Cybertruck, không cần lái xe tự lái
Tóm tắt về Gấu: Marcus có phải là người đàn ông tốt bụng nhất, dịu dàng nhất, chân thành nhất ở Chicago không?
Tôi đã dành một ngày cuối tuần với tính năng chơi từ xa và trò chơi trên đám mây và điều đó thật tuyệt vời
McLaren không thể ngừng sa thải các tài xế IndyCar, nó thực sự thích điều đó
Tin xấu cho Fani Willis và vụ can thiệp bầu cử Trump của cô ấy
Hai đứa trẻ Palestine bị "tổn thương" sau khi người phụ nữ bị cáo buộc cố dìm chết chúng
Black Panther Show của Marvel sẽ là chương trình hoạt hình quan trọng nhất
Cuộc phiêu lưu Bayou của Tiana phá vỡ 87 năm của Canon Công chúa Disney kỳ lạ
Ridley Scott “không vui” khi phần tiếp theo của Alien và Blade Runner bị tặng
Deadpool & Wolverine cuối cùng sẽ mở khóa phim X-Men của Marvel
MaXXXine là một câu chuyện Hollywood hấp dẫn có cảm giác quá nhàm chán
Vợ của Vince Vaughn là ai? Tất cả về Kyla Weber
Người mua hàng trên Amazon cho biết họ ngủ 'như một đứa trẻ được nuông chiều' nhờ những chiếc vỏ gối bằng lụa này chỉ có giá 10 đô la
Eric và Jessie James Decker luôn 'dụ dỗ nhau' — và bọn trẻ không thích điều đó
Heather Rae và Tarek El Moussa chào đón bé trai của họ: 'Trái tim của chúng tôi rất hạnh phúc'
Margaret Josephs bảo vệ sự lựa chọn 'tàn khốc' của Melissa và Joe Gorga để bỏ qua đám cưới của Teresa Giudice
Jimmy Buffett, ca sĩ 'Margaritaville', qua đời ở tuổi 76
Gwyneth Paltrow tiết lộ chiếc váy dạ hội mà cô đã giữ trong mối quan hệ với Brad Pitt 
Charly Reynolds tiết lộ ca phẫu thuật dây thanh gần đây: 'Tôi gặp khó khăn khi hát'
TJ Watt muốn thấy Tom Brady và anh trai JJ được giới thiệu vào Đại sảnh Danh vọng NFL cùng nhau
Có hơn 2.500 phong cách thời tiết lạnh ẩn trong phần giảm giá bí mật này tại Nordstrom Rack - Bắt đầu từ $6
Máy sấy tóc nhẹ 'Rất yên tĩnh' mà người mua hàng nói rằng mang lại cho họ một 'hoàn thiện như ở tiệm' chỉ $ 20 tại Amazon
Vợ của Michael C. Hall là ai? Tất cả về Morgan Macgregor
Paul McCartney về việc 'Lãng mạn' với Vợ Nancy Shevell: 'Tôi hoàn toàn lạm dụng Ngày lễ tình nhân'
Susan Lucci rưng rưng nhớ về người chồng quá cố khi cô thừa nhận mình 'chưa sẵn sàng' để bắt đầu hẹn hò
Danh sách bất động sản của Kirstie Alley Ngôi nhà trị giá 6 triệu đô la ở Florida của Ngôi sao quá cố mà cô đã mua từ Lisa Marie Presley
Người Bengal chạy lại Joe Mixon bị truy nã về lệnh bắt giữ được ban hành vì bị cáo buộc chĩa súng vào phụ nữ
Dwayne Johnson cho biết mẹ anh vẫn 'ổn' sau tai nạn xe hơi vào đêm khuya, sẽ 'tiếp tục được đánh giá'
Người mua hàng đồng ý rằng Máy quét sàn màu đen + Decker này 'Nhanh hơn nhiều' so với chổi truyền thống và nó đang được giảm giá
Clare Crawley mặc chiếc váy cưới thay thế 'trong mơ' sau khi chiếc váy đầu tiên của cô ấy bị đánh cắp - Hãy xem diện mạo của cô ấy!
Ca sĩ 'Flashdance' Irene Cara chết vì tăng huyết áp, cholesterol cao: Báo cáo
Dòng thời gian về mối quan hệ của Suzanne Somers và Alan Hamel
Muni Long nói rằng cô ấy vẫn chưa 'xử lý' để kiếm được 3 đề cử Grammy: 'Mọi thứ đang diễn ra quá nhanh'
Giáo sư Đại học Purdue bị bắt vì bị cáo buộc buôn bán ma túy và cầu hôn phụ nữ để được ân huệ tình dục
Yasmin Vossoughian của MSNBC nói rằng bác sĩ đã coi cơn đau ngực của cô ấy là do trào ngược, sau đó 'cơn ác mộng' của cô ấy bắt đầu
Vận động viên Olympic Jasmine Camacho-Quinn ăn mừng khi anh trai Robert Quinn của cô ấy được tham dự Super Bowl
Lịch sử hẹn hò của Drake: Từ Rihanna đến Jennifer Lopez
Con gái của Kevin Jonas, Alena trông đã trưởng thành trong bức ảnh sinh nhật: '9 tuổi không cảm thấy thật'
Chloe Cherry của 'Euphoria' phải đối mặt với cáo buộc trộm cắp vì bị cáo buộc ăn cắp chiếc áo cánh trị giá 28 đô la
Người phụ nữ được tìm thấy còn sống và 'thở hổn hển' trong túi đựng xác tại Nhà tang lễ Iowa
Tất cả về mối quan hệ của Zoë Kravitz với cha mẹ Lenny Kravitz và Lisa Bonet
Người phụ nữ đã chết 37 năm trước sau khi được tìm thấy trong tình trạng bất tỉnh trên đường cao tốc Ga. Được xác định là bà mẹ mất tích của 4 đứa trẻ
Melissa Gorga không chắc liệu cô ấy có giải quyết được mối thù với Teresa Giudice hay không: 'Bạn có thể để thứ gì đó độc hại đến mức nào?'
Giải cứu động vật cảnh báo 'Không bao giờ nhuộm một con chim' sau khi tìm thấy chim bồ câu màu hồng 'đấu tranh' lang thang ở NYC
Bob Barker, Người dẫn chương trình 'The Price Is Right' lâu năm, qua đời ở tuổi 99: 'MC vĩ đại nhất thế giới'
Cô gái mất tích, 17 tuổi, có khả năng chết cóng sau khi lái xe xuống mương ở vùng nông thôn Wisconsin: Các quan chức
Trevor Noah nói 'Break My Soul' của Beyoncé là 'Nhạc nền của cuộc đời tôi' khi anh ấy rời khỏi 'Chương trình hàng ngày'
Vợ của Jason Kennedy là ai? Tất cả về Lauren Scruggs Kennedy
Trượt băng nghệ thuật Hoa Kỳ 'Thất vọng' vì thiếu quyết định cuối cùng trong sự kiện đồng đội, kêu gọi phán quyết công bằng
Molly Ringwald kỷ niệm 22 năm ngày cưới với chồng Panio Gianopoulos: 'Quyết định tốt nhất tôi từng đưa ra'
Danielle Moné Truitt của 'Law & Order' nghĩ rằng người hâm mộ đã bị 'lừa; Bởi Stabler và Benson Kiss Tease
Tom Girardi tham dự phiên điều trần để xác định thẩm quyền hầu tòa về tội gian lận
Chồng của Lisa Vanderpump là ai? Tất cả về Ken Todd
Chelsea Houska của 'Bà mẹ tuổi teen' chia sẻ phản ứng đẫm nước mắt đối với việc gia hạn chương trình HGTV mùa 2: 'Có ý nghĩa rất nhiều'
Lizzo đã cấp nhãn hiệu cho '100% THAT Bitch' khi đảo ngược sau khi đơn đăng ký bị từ chối
Matthew McConaughey tiết lộ một thầy bói đã bảo anh ấy đóng vai chính trong 'Làm thế nào để mất một chàng trai trong 10 ngày'
Tất tần tật về chiếc váy trắng biểu tượng của Marilyn Monroe (và bi kịch hậu trường mà nó gây ra)
Marvel đang thực sự xuất bản một cuốn hồi ký hư cấu của Scott Lang từ 'Ant-Man and the Wasp: Quantumania'
Gia đình của Yara Shahidi: Tất cả về cha mẹ và anh chị em của nữ diễn viên
Tôi sẽ bước sang tuổi 16 vào ngày mai. Bạn có thể đưa ra lời khuyên cụ thể nào cho một cậu bé 16 tuổi?
Một tháng nữa tôi bước sang tuổi 17 và tôi đã nghĩ rằng mình không thực sự cảm thấy khác biệt so với khi 11 tuổi, điều này có bình thường không? Liệu tôi có thực sự thay đổi khi tôi già đi?
Phẫu thuật tạo hình đáy có đáng để chuyển từ nam thành nữ không?
Theo bạn, việc chuyển đổi giới tính nào khó hơn, từ nữ sang nam (FtM) hay nam thành nữ (MtF)?
Tôi là sinh viên đại học 21 tuổi. Tôi có thể làm gì bây giờ sẽ thay đổi cuộc đời tôi mãi mãi?
Những tác động tiêu cực của việc trải qua tuổi dậy thì (sức khỏe tâm thần, v.v.) là gì?
Tôi là một đứa trẻ 14 tuổi, người rất dễ chán những sở thích của mình. Làm thế nào để tôi tìm thấy đam mê và tài năng của mình?
Spironolactone có hại cho HRT không?
Làm thế nào để tôi ngừng dậy thì mà không có thuốc chặn dậy thì?
Tôi 17 tuổi và dự định tiếp tục theo học HRT khi tôi tốt nghiệp năm nay 18 tuổi. Cho đến lúc đó, tôi có thể làm gì để khiến mình cảm thấy mình là phụ nữ hơn?
Tôi là một đứa trẻ 13 tuổi bị trầm cảm và tôi muốn đi khám bác sĩ về nó, nhưng tôi sợ làm như vậy và bố mẹ tôi sẽ phủ nhận nó chỉ vì nội tiết tố của tôi và những thứ tương tự. Tôi nên làm gì?
Làm thế nào tôi có thể thay đổi cuộc sống của mình ở tuổi 17?
Tại sao tôi chưa bao giờ nhìn thấy một người chuyển giới từ nữ sang nam?
Ưu và nhược điểm của Tuổi dậy thì là gì?
Những thay đổi nào sẽ xảy ra nếu bạn tiếp tục HRT lúc 13 tuổi?
Em năm nay 17 tuổi, em phải làm gì để có thêm kiến ​​thức?
Tuổi nào là tốt nhất để bắt đầu chuyển giới từ nữ sang nam?
Những kỹ năng sống cần thiết mà em có thể thành thạo trong 3 tháng hè này là gì? Tôi 17 tuổi.
Có ổn không khi tôi 13 tuổi nhưng vẫn còn là một đứa trẻ?
Tôi vẫn chuyển giới (FTM) nếu tôi chỉ bắt đầu có dấu hiệu khi bước vào tuổi dậy thì?
Tôi 19 tuổi và là con một. Tôi chán nản và lo lắng về điều gì đó sẽ xảy ra với bố mẹ mình vì họ là tất cả những gì tôi có. Tôi không có bất kỳ người bạn nào và tôi cũng không thể kết bạn với đại dịch. Tôi sợ ở một mình, tôi có thể làm gì để tự giúp mình?
Làm thế nào để tôi sống một cuộc sống trọn vẹn nhất với tư cách là một thanh niên 19 tuổi?
Chuyển giới: Khó khăn nhất trong quá trình chuyển giới từ nam sang nữ của bạn là gì?
Điều quan trọng nhất mà một thiếu niên 14 tuổi cần ghi nhớ là gì?
Tuổi dậy thì diễn ra theo từng giai đoạn? Nó có thể dừng lại và sau đó bắt đầu lại không?
Bắt đầu HRT ở tuổi 18 (chuyển giới) có phải là một ý kiến ​​hay không?
18 có phải là độ tuổi tốt để bắt đầu chuyển sang MTF?
Hôm nay tôi 19 tuổi. Điều quan trọng nhất mà tôi nên học là gì?
Điều gì sẽ xảy ra nếu bạn chưa bao giờ bước qua tuổi dậy thì?
Làm cách nào để nhận HRT mà không nói rằng tôi muốn HRT?
Trong quá trình chuyển đổi giới tính từ nam sang nữ, ngực phát triển có cảm giác như thế nào?
Tôi 19. Tôi vẫn đang trong độ tuổi dậy thì phải không?
Tôi 23 tuổi. Tôi có thể làm gì bây giờ sẽ thay đổi cuộc đời tôi mãi mãi?
Nếu tôi muốn tìm hiểu để bắt đầu điều trị chuyển đổi giới tính thì tôi nên đến khám ở bác sĩ nào?
Điều hữu ích nhất tôi có thể làm khi tôi 14 tuổi là gì?
Tôi vừa tròn 17 tuổi, tôi phải làm gì bây giờ để đảm bảo cuộc sống tốt nhất cho bản thân?
Tôi 16 tuổi sẽ 17 vào tháng tới. Tôi làm cách nào để tìm gặp bác sĩ trị liệu nếu mẹ tôi nghĩ rằng tôi không cần đến bác sĩ?
Tôi 13 tuổi, chuyển giới (ftm) và đã đến gặp bác sĩ trị liệu được vài tháng. Làm sao tôi có thể nói với cô ấy rằng tôi là người chuyển giới và nhờ cô ấy đưa ra lời khuyên?
Là một đứa trẻ 13 tuổi, làm thế nào tôi có thể tiết kiệm và tích trữ tiền mà bố mẹ không biết?
Cách tốt nhất để chuyển từ nam sang nữ một cách tự nhiên là gì?
Tôi đang chuyển đổi từ nữ sang nam. Tên mới của tôi phải là gì?
Tôi 14 tuổi, bạn muốn cho tôi lời khuyên nào sẽ hữu ích cho phần còn lại của cuộc đời tôi?
Có phải ai cũng trải qua tuổi dậy thì?
HRT có được khuyến nghị cho thanh thiếu niên chuyển giới không?
Trẻ 14 tuổi có thể làm gì để cuộc sống của chúng tốt hơn / dễ dàng hơn?
Những loại thuốc nào có thể thay đổi nam thành nữ mà không cần phẫu thuật?
Bạn có thể bắt đầu sử dụng hormone MTF HRT ở tuổi 13 không?
Làm thế nào để tôi đặt lịch hẹn với bác sĩ mà không có cha mẹ tôi và họ không biết lý do tôi đến? Tôi 15 tuổi.
Những rào cản lớn nhất để có được RL trong sản xuất là gì?
Loại bỏ đường viền bên trong trong type = color
Chọn tham gia thử nghiệm alpha cho trình chỉnh sửa Stacks mới
Cách lấy văn bản cụ thể thuộc về lớp div
Chúng ta có thể tạo ra điện từ bão cát trên sao Hỏa không? Nếu vậy nó có thể được sử dụng để cung cấp năng lượng cho các khuẩn lạc không?
winforms C # .NET - Cách cải thiện hiệu suất của mã của tôi trong khi sử dụng các vòng lặp (for, foreach, v.v.) [đã đóng]
Chứng minh rằng một dãy $\{a_n\}_n$Được định nghĩa bởi $a_1=-\frac14$và $-a_{n+1}=\frac{a_na_{n+1}+4}4$là hội tụ và tìm giới hạn của nó.
Truy xuất giá trị href của trường Liên kết của Mục liên kết trong scriban [trùng lặp]
Cách tốt nhất để sử dụng BeginTransaction bằng cách sử dụng try catch
Cách thích hợp để đóng C # Socket trong .NET Core 3.1 là gì?
Tại sao các chuyến bay không bay theo đường tiếp cận hạ cánh sớm hơn?
Regex_search c ++
Bom Ellerman là gì và chúng ta có thể xác định chúng bằng cách nào?
“ $\Sigma_1^1$-Peano arithmetic ”- nó có ghim $\mathbb{N}$?
Tòa án Tối cao có thể tuyên bố một bản luận tội vi hiến không? [bản sao]
Làm thế nào để biết một mảng có 2 hay nhiều phần tử giống nhau? [bản sao]
"Bốn mươi ngày bốn mươi đêm"
Người ta có thể mô tả đặc điểm của các anton cực đại theo các mạng phân bố không?
Làm thế nào để loại bỏ các vành đai của sao Thổ?
Mã QR sẽ phải lớn đến mức nào trên mái nhà của tôi để vệ tinh có thể quét nó với độ phân giải cho phép ngày nay?
Làm thế nào để giám sát giới hạn tốc độ trên đường trong thời trung cổ? [bản sao]
Mặt trăng có tốc độ vừa phải để không đâm vào Trái đất hoặc thoát ra ngoài không gian. Tỷ lệ cược là bao nhiêu?
Yêu cầu quyền [tiền tố] [tiền tố] [hậu tố]. [Toàn bộ] là gì?
proxy nginx tới Tomcat với SSL
Phán quyết cho việc tiến hành chiến tranh ở các thành phố là gì?
Làm thế nào để liệt kê các công việc k8s của tôi với một LabelSelector phức tạp theo từng khách hàng?
Joomla Chọn từ nhóm DB AND / OR
Nhóm lãnh đạo ban đầu của Môi-se, Xuất Ê-díp-tô Ký 18:21
Có thể sử dụng cây Stern-Brocot để hội tụ tốt hơn $2^m/3^n$?
Ma trận lôgarit của toán tử đạo hàm là gì ( $\ln D$)? Vai trò của toán tử này trong các lĩnh vực toán học khác nhau là gì?
Có vị trí giao phối cưỡng bức không?
Về việc một cố vấn tiến sĩ từ chối sinh viên do vấn đề sức khỏe
Tại sao trái cây và rau ngâm không phải là một phần của khẩu phần ăn (Châu Âu) trong Thời đại Cánh buồm?
Nhóm danh sách theo các phần tử của danh sách lồng nhau [trùng lặp]
Tôi có phải mở nguồn ứng dụng của mình không nếu tôi sử dụng dữ liệu api chưa sửa đổi được cấp phép theo CC-BY-SA 4.0
Nếu ngâm chua làm mất đi Vitamin C, thì Dưa cải bắp lại giàu Vitamin C như thế nào?
Case study: what does it take to formulate and prove Quillen's small object argument in ZFC?
Có xúc phạm không khi giết nhân vật đồng tính của tôi ở cuối cuốn sách của tôi?
Kubernetes - Có thể kết hợp Pod.yaml và Service.yaml trong một tệp yaml không (nhưng không có Triển khai)
Cách sử dụng một từ tiếng Do Thái không phổ biến cho "tỏa sáng" trong Exodus
MOCs: Câu hỏi về việc sử dụng nhãn hiệu LEGO
java: nhận số lượng tất cả các khóa và giá trị riêng biệt trong Bản đồ <Chuỗi, Đặt <Chuỗi>> [trùng lặp]
Lịch sử thời trang người sói, Phần 1: những năm 2000
Tìm hiểu sâu hơn về sự cố bảo mật tháng 5 năm 2019: phản hồi về bài đăng trên blog
Hiệu ứng Wilson: Vết đen mặt trời “sâu” đến mức nào?
"Họ không cảm thấy tội lỗi và chết"
Có thể sao Thiên Vương có bề mặt rắn do thành phần bên trong và thiếu nhiệt bên trong?
Câu đố trượt 3 x 2
5 kỹ thuật viết sáng tạo dẫn đến bài báo thú vị
5 kỹ thuật viết sáng tạo dẫn đến bài báo thú vị
Một chatbot để kiểm soát nội dung
Một chatbot để kiểm soát nội dung
Im lặng
Im lặng
Tin tưởng bản năng đầu tiên của bạn trong một mối quan hệ là rất quan trọng
Tin tưởng bản năng đầu tiên của bạn trong một mối quan hệ là rất quan trọng
Những gì chúng tôi đang xây dựng vào năm 2020
Những gì chúng tôi đang xây dựng vào năm 2020
Làm cho việc loại bỏ lỗi Luồng cụ thể hơn
Làm cho việc loại bỏ lỗi Luồng cụ thể hơn
Các ngôn ngữ lập trình hàng đầu cho kỹ sư AI vào năm 2020
Các ngôn ngữ lập trình hàng đầu cho kỹ sư AI vào năm 2020
Những lý do nên chọn PyTorch để học sâu
Những lý do nên chọn PyTorch để học sâu
Samantha Lazar
Samantha Lazar
Vòng xoáy của một năm
Vòng xoáy của một năm
Lời mời
Lời mời
Hai kho lưu trữ Python để trực quan hóa văn bản
Hai kho lưu trữ Python để trực quan hóa văn bản
Tận dụng tối đa: Thiết kế UX ứng dụng kết hợp
Tận dụng tối đa: Thiết kế UX ứng dụng kết hợp
Thông báo &amp; Báo thức trong Flutter
Thông báo & Báo thức trong Flutter
6 điều tôi học được từ Brendon Burchard
6 điều tôi học được từ Brendon Burchard
Những người làm việc hiệu quả có thói quen buổi sáng theo nghi thức
Những người làm việc hiệu quả có thói quen buổi sáng theo nghi thức
Làm điều quan trọng nhất với bạn vào buổi trưa
Làm điều quan trọng nhất với bạn vào buổi trưa
Tại sao bạn không nên làm mọi việc một cách cá nhân
Tại sao bạn không nên làm mọi việc một cách cá nhân
5 điểm chung của những người đạt thành tích cao
5 điểm chung của những người đạt thành tích cao
Halloween trên Spectrum
Halloween trên Spectrum
Tôi là một người lớn tự kỷ và tôi ghét Halloween
Tôi là một người lớn tự kỷ và tôi ghét Halloween
Tôi chưa bao giờ nghĩ rằng mình sẽ gật đầu chấp thuận trước Lễ tuyên dương của George W. Bush
Tôi chưa bao giờ nghĩ rằng mình sẽ gật đầu chấp thuận trước Lễ tuyên dương của George W. Bush
Sự xuất hiện của tài chính phi tập trung
Sự xuất hiện của tài chính phi tập trung
Hình dung sự phát triển bùng nổ của DeFi vào năm 2020
Hình dung sự phát triển bùng nổ của DeFi vào năm 2020
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved