Koa.js Güvenlik Açığı Analizi Güncellemesi

Nov 26 2022
Kısa bir süre önce, 2018'de Koa.js'yi etkileyen bir güvenlik açığı hakkında yazmıştım.

Kısa bir süre önce, 2018'de Koa.js'yi etkileyen bir güvenlik açığı hakkında yazmıştım . 2018'de tarih 2022 iken bir sorunla uğraşmak zorunda kaldığım için hayal kırıklığına uğradım ve Koa'nın en son sürümünü kullanıyordum. 4 yıl geçti. Bu uzun bir süre. Elbette sorun artık orada değil!? Ve aynı anda hem vardı hem de değildi. Bu, aynı anda hem hatalı hem de haklı olduğum anlamına gelir. İşte size nasıl yapılacağını anlatmak için önceki gönderiye yönelik bir güncelleme:

  • Sonatype ve Dependency Track'i belirli durumlarda sürüm bilgileriyle çalışmamakla haksız yere suçladım
  • Bir güvenlik açığı hakkında aynı anda hem haklı hem de haksız olabilirim

OSS İndeksi Versiyon Bilgisine Sahiptir

Önceki yazımı okuduysanız, muhtemelen sorunun beni etkilemediği sonucuna vardığımı hatırlarsınız. İyi haber şu ki ben haklıydım. Kötü haber şu ki, Sonatype'ı OSS Index for Dependency Track'in birlikte çalışması için sağladığı verilerde sürüm numaralarına sahip olmamakla haksız yere suçladım. Bilgiye sahip oldukları ortaya çıktı. Görünmesini beklediğim yerde görünmüyordu. 22/11/2022 tarihinde alınan aşağıdaki ekran görüntüsüne bakın.

Etkilenen sürümlerle ilgili bilgiler eksik

Bağımlılık İzleme (DT) büyük olasılıkla yukarıdaki sayfada görüntülenenlerle tam olarak çalışmıyor, ancak DT'nin OSS Dizininden getirdiği verilerin nasıl göründüğünü kontrol etmek umurumda değildi. DT az önce daha fazla bilgi edinebileceğim OSS İndeksine bir bağlantı gösterdi. Tıkladım ve bu sayfaya geldim.
Bugün Sonatype tarafından sürüm numaralarının mevcut olduğu dikkatimi çekti; Başka bir yere bakmalıyım. Nitekim, hesabınıza giriş yapıp Koa'yı ararsanız veya yukarıdaki ekran görüntüsündeki “Koa için ayrıntıları gör” düğmesine tıklarsanız bulabilirsiniz. Aşağıdaki ekran görüntüsüne bakın.

Sürüme ve temel güvenlik açığı sayacına göre Koa

Yani yanılmışım. Sonatype veritabanındaki bilgilere sahiptir. O halde sorun sunum katmanındadır. Gerekirse görüp doğrulayabilmemiz için, güvenlik açığının gerçekten tartışıldığı sayfada etkilenen sürümleri listeleselerdi daha iyi olurdu.

Sonatype OSS Index'i sürüm bilgisine sahip olmamakla haksız yere suçladım. Ayrıca, sürüm bilgileri mevcut değilse, yalnızca bağımlılık adına dayalı olarak rapor vermeye istekli olmakla, Dependency Track'i haksız yere suçladım. (Hala ikincisinin doğru mu yanlış mı olduğunu öğrenmem gerekiyor, kontrol etmedim.)

Henüz pes etmeyin! Tartışılacak daha heyecan verici şeyler, gerçek güvenlik açığı ve (umarız) OSS Dizinindeki güvenlik açığı raporunda yapılacak değişikliklerdir. Güvenlik açığı ile başlayalım.

Siteler Arası Komut Dosyası Çalıştırma

Sonatype, XSS'yi aşağıdaki düşünce sürecine dayanarak Koa'ya bağladı.

Koa, Koa'yı kullanan geliştirici değil, HTML yanıtına URL'yi yazan varlıktır.

Koa'nın hangi URL'lere izin vermek isteyip istemediğiniz hakkında hiçbir fikri olmayacağından, geliştiricinin açık bir yeniden yönlendirmeyi önlemek için sağlanan URL'yi muhtemelen bir izin verilenler listesine göre doğrulamasını beklemek kesinlikle mantıklıdır. Bununla birlikte, bir geliştirici olarak, bir yönlendirme() yöntemine ilettiğim bir URL için XSS temizleme işlemi yapma konusunda endişelenmem gerektiğini düşünmüyorum.

Koa, bu bağlamda XSS'yi önemsiyor gibi görünüyor, çünkü zaten bunu önlemek için orada kodları var, HTML'ye yazdıklarında URL'yi kodlayan HTML varlığı

Bir dereceye kadar katılıyorum. Aşağıdakilere katılmıyorum, örneğin.

Bir yönlendirme () yöntemine ilettiğim bir URL için XSS temizliği yapma konusunda endişelenmem gerektiğini düşünmem

Sizin (geliştiricinin) sağladığı bir yönlendirme yöntemine geçerli, güvenli bir URL iletirseniz, XSS hakkında endişelenmenize gerek yoktur (elbette). Tamamen veya kısmen kullanıcı tarafından sağlanan verileri iletirseniz, ister geliştirici ister güvenlik uzmanı olun, bu her zaman endişelenmeniz gereken bir şeydir. Yine de Koa'nın geliştiriciye yardım etmesini beklemek abartılı değil.

Nereden geldiğimi anlamanıza yardımcı olacağını umduğum harika bir örnek vereyim. Aşağıdaki örnekte, kullanıcı tarafından sağlanan verileri yanıt gövdesindeki tarayıcıya geri iletiyorum. Bunu herhangi bir doğrulama, temizleme veya kodlama olmadan yapıyorum.

const Koa = require('koa');
const app = new Koa();

app.use(async ctx => {
  ctx.body = ctx.query.payload;
});

app.listen(4444);


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=<img%20src=x%20onerror=alert(1)> HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Content-Length: 28
< Date: Wed, 23 Nov 2022 10:59:17 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
<img src=x onerror=alert(1)>%

  • Yanıt gövdesinde tarayıcıya neyi ve nasıl ilettiğimi düşünün
  • Yanıt için Content-Type başlığının değerini göz önünde bulundurun (ve muhtemelen en iyisi açıkça kontrol etmek!)
  • Koa'nın varsayılan olarak, iletilen değere göre Content-Type başlığının değerini otomatik olarak ayarladığını bilin ctx.body. (Örneğin iletmeyi deneyin aaave nasıl değiştiğini görün)

Yukarıdaki ctx.body"XSS" örneğini göz önünde bulundurduğumuzda, ctx.redirect(). Sonatype'tan tekrar alıntı:

Koa, zaten kodları olduğu için bu bağlamda XSS'yi önemsiyor gibi görünüyor.

Bu, Koa'nın bu bağlamda XSS'yi umursamaması durumunda, benzer şekilde, söz konusu olduğunda onu umursamaması (ve umursamaması) ctx.body, kimsenin bunu bir XSS güvenlik açığı olarak işaretlemeyeceği anlamına mı geliyor? Bu oldukça komik. Burada ve burada belgelenen Formidable hakkında daha önceki analizimle bazı benzerlikler fark ettim .

Şimdiye kadar ne söylediysem de, bir XSS orada… ve aynı anda değil. Bu nasıl mümkün olabilir? Basit! Oradadır, ancak aşağıdaki durumlar dışında bundan yararlanamazsınız:

  1. Kurban eski bir web tarayıcısı kullanıyor VE
  2. ctx.redirect()Geliştirici tarafından Koa's , AND kullanılarak uygulanan açık bir yönlendirme var.
  3. Geliştirici, kullanıcı tarafından sağlanan tüm verilere tamamen güvenir ve bunları kelimesi kelimesine aktarır.ctx.redirect()

Sonatype rapor sayfası, bugünkü ekran görüntüsünden de görebileceğiniz gibi, “Siteler Arası Komut Dosyasına Yönelik Açık Yönlendirme” dedi. Bir önceki yazım “açık yönlendirme” kısmını sorgulamıştı:

Her şeyden önce, açık bir yönlendirme yoktu. Yalnızca açarsanız açılır ve iki PoC (orijinal ve benimki) arasındaki fark bunu açıkça gösterir.

Sonatype ayrıca, açık yönlendirmeleri engellemekten Koa'nın sorumlu olmadığını da kabul eder. Onların endişesi, benim endişem ve diğer herkesin asıl endişesi XSS idi. Açık yönlendirmeyi dahil etmek sadece kafa karıştırıcıydı. Aynı zamanda, daha sonra göreceğimiz gibi teknik olarak da mantıksız değildi. (Aynı zamanda güvenlik açığı puanlamasını da etkiler.)

Daha önce belirtildiği gibi, Koa'nın davranışından başarıyla yararlanmak için açık bir yeniden yönlendirme gerekir. Fakat:

  • Koa, açık yönlendirmeleri engellemekten sorumlu değildir (daha önce belirtildiği gibi)
  • ctx.redirect()Koa , geliştiricinin onayı olmadan yürütülmeyecek
  • Koa, geliştiricileri yönlendirmeleri kullanmaya zorlamaz

Dolayısıyla, başka bir koruma katmanı daha vardır: kullanım durumları. Bir geliştiricinin bir tarayıcının yönlendirildiği yer üzerinde biraz kontrol istememesi ne kadar olasıdır? Pek olası değil. Bu, büyük olasılıkla, geliştiricilerin kullanıcı tarafından kontrol edilen verileri ctx.redirect()başka bir dize parçasına eklenecekleri anlamına gelir. Bu nedenle, aşağıda gösterilen örneklere benzer bir şeyin olması en olasıdır:

ctx.redirect(`http://website.example.org/search?q=${userInput}`);
ctx.redirect(`/search?topic=${userInput}`);

Güvenlik Açığı Puanlaması

Önceki bölümün sonunda tartışıldığı gibi, açıktan yararlanılabilmesi için üç (3) koşulun karşılanması gerekir.

  • Hangi tarayıcı sürümünün kullanılacağı son kullanıcıya bağlıdır.
  • Yönlendirme yönteminin kullanımı ve nasıl kullanılacağı geliştiriciye bağlıdır.

Ayrıca üzerinde durulması gereken, yönlendirme yönteminin güvensiz bir şekilde kullanılmasının saldırı vektörü olduğudur. Başarılı bir istismar için bir saldırı vektörü gereklidir. Koa saldırı vektörü sağlamaz; geliştirici yapar.

Bunu NIST tarafından sağlanan "Yazılım Güvenlik Açığı" tanımıyla ilişkilendirelim:

https://csrc.nist.gov/glossary/term/software_vulnerability

Vurgulamak istediğim kısım “istismar edilebilir”. Koa'yı bir yazılım kütüphanesi olarak alın. Önce gerekli saldırı vektörünü oluşturmadan bundan yararlanabilir misiniz? Hayır. Dolayısıyla, bir yazılım kitaplığı olan Koa'nın bakış açısıyla, hiçbir saldırı vektörü sunulmaz; bu olmadan sömürü imkansızdır. Tanımı katı bir şekilde yorumlasaydık (ki ben öyle yapıyorum), Koa'nın davranışına güvenlik açığı diyemeyiz.
Bir saldırı vektörü olmadan bir CVSS puanı hesaplamaya çalışalım:

Saldırı vektörü olmadan CVSS puanının hesaplanması

Saldırı vektörü yoksa puan da yoktur. Bunun, NIST tarafından sağlanan Yazılım Güvenlik Açığı tanımıyla tutarlı olduğunu söyleyebilirim.
Bir saldırı vektörünün var olduğu hayali bir senaryo deneyelim ve yaratalım.

Kurgusal saldırı vektörü

Hayali saldırı vektörü dışında burada hala birkaç sorun var. Başarılı bir şekilde yararlanma eski bir tarayıcı gerektirdiğinden Saldırı Karmaşıklığı Yüksek olarak ayarlandı. Saldırganın kurbanları eski bir tarayıcı indirip yüklemeye ikna etmesi gerekir.
Bu anlamda, Kullanıcı Etkileşimi temel ölçümleri gerçekten bununla ilgili olmasa da Kullanıcı Etkileşimi gereklidir. Bu senaryoda, XSS'den yararlanmanın kullanıcı etkileşimi gerektirip gerektirmediği, Koa'da değil Web Uygulamasının yönlendirmeleri nasıl kullandığına bağlıdır. Ayrıca, enjekte edilen JavaScript'in, ilk etapta kullanıcı etkileşimi gerektirdiği için kendi başına çalışmayacağını da belirtmekte fayda var: HTML yanıtındaki bağlantıya tıklamak.

Peki bu konuda bir güvenlik açığı puanını zorlamak için ne yapabiliriz? Bir şey seçmeliyiz. Arzu dolu düşünme, en kötüsünü varsayarak, ne istersen. Kesin olan bir şey var ki, aslında yapmamanız gereken bir hesap yapıyorsunuz ve sonuç gerçeklikten o kadar uzak ki, kelimesini bile bulamıyorum.

Bir sonraki büyük şey, Etki Metrikleridir. Etkiyi anlatmak için Web Uygulamasının ne hakkında olduğunu bilmelisiniz. Ancak bir Web Uygulaması için bir güvenlik açığı puanı hesaplamıyoruz… Bağlam göz önüne alındığında, bu XSS'nin Koa üzerinde sıfır etkisi vardır. Koa, gizli bilgileri kendi başına işlemez veya işlemez. Hatanın kullanılabilirlik veya bütünlük üzerinde hiçbir etkisi yoktur. Bu , bir saldırı vektörünü hesaplamaya zorladıktan sonra bile, bize 0,0'lık nihai skor bırakır .

Öyleyse soru şu ki, gerçekleri mi yoksa kurguyu mu bildiriyoruz?

Sonatype , 2019'da CVSSv3.1 ile yayınlanan Yazılım Kitaplıklarında Puanlama Güvenlik Açıkları için resmi kılavuza dikkatimi çekti. Bunu bilmediğimi itiraf ediyorum, bu hem iyi hem de kötü. İyi çünkü bir rant gönderisiyle sonuçlanırdı, kötü çünkü belki daha önce görseydim, bunun doğru yol olmadığını açıklamaya çalışmak için bu kadar çaba harcamadan tüm umudumu kaybederdim. Peki, resmi kılavuz ne diyor?

Bir kitaplıktaki bir güvenlik açığının etkisini puanlarken … Analist, makul en kötü durum uygulama senaryosu için puan vermelidir. Mümkün olduğunda, CVSS bilgileri bu varsayımları detaylandırmalıdır.

Yani cevap, güvenlik açığı puanlamasının kurguya dayalı olduğudur.

Ayrıca, " makul bir en kötü durum uygulama senaryosu" nedir? Koa kullanan birçok projeyi analiz edersek ve çoğu geliştiricinin Koa'nın ctx.redirect()yöntemini kullanarak açık yönlendirmeler uyguladığını bulursak, en kötüsünü varsaymak mantıklı olabilir. GitHub'da JavaScript projelerinde hızlı bir kod araması yaptım . ctx.redirect(16.827 kod sonucu aldım. Arama context.redirect(yaparken 15.751 kod sonucu aldım. Bu, analiz edilecek 32.578 kod sonucu olacaktır. Bunlardan bazıları Koa, bazıları Express kullanacak ve bazıları başka bir şey olabilir. (Elbette, bağlam herhangi bir adla çağrılabilir, yalnızca ctxveya değil context, bu nedenle bakılacak daha fazla kod olabilir.)

Soru şu: Kullanıcı tarafından sağlanan verileri yönlendirmek için beyinsizce geçirmek bu kadar yaygın mı? Arama kriterleriyle eşleşen tüm projeleri kontrol etmek için küçük bir komut dosyası yazarak yarı otomatik bir analiz yaklaşımı benimsedim. Ne yazık ki, GitHub diğer istekleri reddettiği için ilk 1000 isabeti geçemedim:

{
    "message":"Only the first 1000 search results are available",
    "documentation_url":"https://docs.github.com/v3/search/"
}

Gördüklerime dayanarak ve bir sonraki bölümde ("Eski Web Tarayıcı") tartışılanları göz önünde bulundurarak, en kötü durum uygulamasının makul olacağına inanmıyorum. Bu özel durumda değil.

Resmi rehberlik ayrıca şunları söylüyor:

Etkilenen kitaplığı kullanarak belirli bir uygulamadaki bir güvenlik açığını puanlarken, söz konusu uygulama için puanın yeniden hesaplanması gerekir.

Bu makul ve durumun bilimkurgu yönünü bir nebze olsun hafifletiyor. Güvenlik açığı puanı 9.8 olan bu Koa sorunu, bizim durumumuzda bu şekilde 0,0 olarak sonuçlandı.

İyi olan şey, Sonatype'ın 9.8 güvenlik açığı puanının mantıksız olduğu konusunda hemfikir olması ve bunu düşürmeye istekli olmaları. Bunu takdir ediyorum ve muhtemelen başkaları da takdir edecek.

Ayrıca Sonatype, sorunu sistemlerine eklediklerinde, müşterilerinin bu potansiyel olarak beklenmedik durumu bilmelerinin en iyisi olacağına inandıklarını söyledi. "Gördüklerimizi görmezden gelmekten ve potansiyel olarak olumsuz bir sonuç doğurmaktansa uyarmak daha iyidir" dediler. Ve elbette haklıydılar.

Güvenlik sorunlarının iletilmesi gerekip gerekmediğini asla sorgulamadım. Evet, güvenlik sorunları görünür kılınmalıdır. Beni endişelendiren, bu konuların nasıl iletildiği:

  • Bir şeyi güvenlik açığı olarak adlandırmak uygun mu yoksa güvenlik zayıflığı veya güvensiz varsayılan davranış vb. olarak adlandırmak daha mı uygun?
  • Atanan güvenlik açığı puanı makul mü?
  • Yeterli ayrıntı ve bağlam sağlandı mı?

Şimdi biraz eski web tarayıcılarından bahsedelim.

Eski Web Tarayıcısı

Sonatype'ın iyi insanları olmasaydı, muhtemelen bir daha asla eski web tarayıcılarını düşünmezdim.

Gelecekte de eski tarayıcıları düşünmemeye devam edeceğim. Öncelikle akılda tutulması gereken çok fazla şey var; Eski web tarayıcıları hakkında endişelenemem. İkincisi, eski bir web tarayıcısı (espri anlayışınız yoksa bağlantıya tıklamayın!) kaç yaşında ? "Eski" gerçekten ne anlama geliyor? Herhangi biri sadece ~ 1 yaşında bir tarayıcı kullanıyorsa, büyük ihtimalle zaten XSS'den çok daha büyük sorunları vardır .

Yine de biraz araştırma yaptım ve şunu buldum:

  • 2016'dan Google Chrome 48.0.2564.109 (64-bit) (!) yanıt gövdesini bile göstermedi. 2018'de Koa konusu bulununca 2016'ya kadar gitmenin yeterli olacağını düşündüm ama öyle olmadığı ortaya çıktı.
  • 2011'den Firefox 4.0, yanıt gövdesini görüntüledi, ancak JavaScript yükünün yürütülmesi için kullanıcıların bağlantıya tıklaması gerekiyordu. (Tabii ki bu bir bağlantı!)
  • Koa XSS sorununun bildirilmesinden 1 yıl önce, 2017 tarihli Firefox 52.0, JavaScript yüküyle yanıt gövdesini zaten göstermiyordu. Firefox, "ağ protokolü ihlali" nedeniyle "Bozuk İçerik Hatası" diyen bir hata attı.

Koa 0.0.1 2013'te piyasaya sürüldü, bu nedenle sorunun istismar edilebileceği birkaç yıl vardı. Bu itibarla, 2018'de Koa 2.5.0'a kadar (hala 9.8 puanla değil) bu sorunu işaretlemek muhtemelen kabul edilebilir olacaktır.

Araştırma yaparken Wikipedia'da ilginç bir şey buldum . Alıntı yapayım:

Firefox 15, 28 Ağustos 2012'de piyasaya sürüldü … Firefox 15, Firefox'u kullanıcıyı bilgilendirmeden en son sürüme güncelleyen otomatik bir güncelleme olan sessiz güncellemeler getirdi [65] , Google Chrome ve Internet Explorer 8 ve sonraki sürümlerin sahip olduğu bir özellik zaten uygulandı

Bu nedenle, Koa'nın ilk sürümü piyasaya sürülmeden önce tüm büyük web tarayıcılarının otomatik güncelleme özelliği vardı, bu da kullanıcıların büyük çoğunluğunun güncel bir web tarayıcısı kullandığı anlamına geliyor. “Büyük patlama” sırasındaki durumu görelim: 2013.

  • Firefox 15 : "Bozuk İçerik Hatası" şeklinde bir hata döndürdü, yani yanıt gövdesi kullanıcıya gösterilmedi.
  • Chrome 24.0.1312 (WebKit 537.17) : Herhangi bir yanıt gövdesi göstermedi. Geliştirici araçlarının ağ sekmesine baktığımda neredeyse hiçbir şey görünmüyordu, bu yüzden tarayıcının isteği ilk başta gerçekleştirip gerçekleştirmediğini görmek için Wireshark'ı çalıştırmam gerekti. Wireshark'ta, Chrome'un PoC hizmetime ulaştığı ve yanıtı JavaScript yüküyle aldığı görüldü. Yanıt gövdesini oluşturmadı. Daha da iyisi, hiçbir şey olmadı.
  • Internet Explorer 11 (11.0.9600.19180) : Wireshark kullanarak doğruladığım PoC hizmetimden yanıt getirdi. Yanıt gövdesini kullanıcıya göstermedi. "Bu sayfa görüntülenemiyor" yazan klasik yerleşik hata sayfasıyla geri döndü.

Yukarıdaki araştırmayı yaptıktan sonra, bir saniye için Sonatype'tan bir alıntıya geri dönelim:

Koa, bu bağlamda XSS'yi önemsiyor gibi görünüyor, çünkü zaten bunu önlemek için orada kodları var, HTML'ye yazdıklarında URL'yi kodlayan HTML varlığı

Bu ifade doğru olsa da, Koa'nın ilk sürümü piyasaya sürüldüğünde büyük tarayıcılardan hiçbirinin istismara izin vermemesi, alıntının ilginç bir şeye, cümlenin önermek istediğinden başka bir şeye işaret ediyor. Koa geliştiricilerinin tam olarak nasıl düşündüklerini tam olarak bilemeyeceğim için spekülasyon yazmak üzere olduğumu lütfen unutmayın. Geliştiricilerin söz konusu davranışı güncel bir web tarayıcısı kullanarak test ettiğini kolayca tahmin edebiliyorum. hrefHTML kodlamasının uygun olduğunu bulmuş olabilirler, çünkü enjekte edilen JavaScript kodunun özelliğinden çalıştırılması zaten imkansızdı.aetiket. Bu ciddi bir soruyu gündeme getiriyor. Son beş yılı daha fazla yazılım geliştirme tarafında geçirmiş biri olarak, benim için de geçerli: Bir geliştirici olarak, arka uç için yeni bir web teknolojisi oluşturmak üzereysem, eski web tarayıcılarını önemsemeli miyim? Ve eğer yapmam gerekirse, eski web tarayıcılarını ne kadar geriye götürmem gerektiğine dair güvenlik topluluğunun resmi tavsiyesi nedir? Son kullanıcılar için en iyi güvenlik uygulamasının tarayıcılarını güncel tutmak olduğunu ve otomatik güncelleme özelliğinin de bu konuda yardımcı olduğunu düşünmemeli miyiz? Ayrıca, geliştiricilerin aklında tutmasını ve eski tarayıcılarla test etmesini beklersek, güvenlik uzmanlarının da aynı şeyi yapmasını ve yalnızca "eski tarayıcılara" atıfta bulunmak yerine belirli bir soruna katkıda bulunan tüm web tarayıcılarını ve sürümlerini adlandırmasını bekleyemez miyiz? ”? Sadece adil olurdu.

Kesin olan bir şey var ki, yıllardır endişelenecek bir şey yok…

Modern Tarayıcı

Analizimde web tarayıcımı kullanarak yanıt gövdesini kontrol ettim ve boş buldum. Tel üzerinden gönderilen yanıtın bir gövdesi olup olmadığını kontrol etmedim. Yanıt gövdesini tamamen yok sayan yalnızca Google Chrome olduğu ortaya çıktı; bu nedenle göstermedi. Bu benim için yeterince iyiydi. Makul olarak, eklemeliyim.

O zamandan beri, test web hizmetimin yanıtına Koa'nın en son sürümünü kullanarak baktım. Aşağıda, enjekte edilen JavaScript kodunu içeren bir HTML yanıt gövdesi olduğunu görebiliriz:

*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=javascript:alert(1); HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: javascript:alert(1);
< Content-Type: text/html; charset=utf-8
< Content-Length: 71
< Date: Tue, 22 Nov 2022 17:55:12 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="javascript:alert(1);">javascript:alert(1);</a>.


*   Trying 127.0.0.1:4444...
* Connected to 127.0.0.1 (127.0.0.1) port 4444 (#0)
> GET /?payload=%22><%2f HTTP/1.1
> Host: 127.0.0.1:4444
> User-Agent: curl/7.79.1
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: %22%3E%3C/
< Content-Type: text/html; charset=utf-8
< Content-Length: 61
< Date: Tue, 22 Nov 2022 22:18:49 GMT
< Connection: keep-alive
< Keep-Alive: timeout=5
< 
* Connection #0 to host 127.0.0.1 left intact
Redirecting to <a href="&quot;&gt;&lt;/">&quot;&gt;&lt;/</a>.

Yaklaşan Değişiklikler

Sonatype'ın bu sorunla ilgili olarak uygulamayı planladığı güncellemelerin listesi aşağıdadır:

  • Yanlış anlamaları ortadan kaldırmak için Özet/Başlık satırının güncellenmesi (zaten oldu)
  • Güvenlik açığı puanını 4,7'ye düşürme (zaten oldu)
  • Güvenlik açığından yalnızca bir kullanıcı eski bir tarayıcı çalıştırıyorsa yararlanılabileceğinden bahsedin

Görmek İstediğim Ek Değişiklikler

Önceki bölümde bahsedilen değişikliklerin yanı sıra, birkaç şey daha da geliştirilebilir. Bunlar:

  • Özellikle 2018'den sonra yayınlanan Koa sürümleri için güvenlik açığı puanını daha da azaltmak.
  • En azından başlıca web tarayıcılarının sürüm numarası ve "eski tarayıcılara" atıfta bulunurken raporda yer alan yayınlanma tarihleri ​​dahil. Bu, "etkilenen kitaplığı kullanarak belirli bir uygulamadaki bir güvenlik açığını puanlarken" herkese önemli ölçüde yardımcı olacaktır. Örneğin, bir kullanıcının 2011'den kalma bir tarayıcı kullanması gerektiğini görseydim, sorunu bir saniye içinde SCA'da "etkilenmedi" olarak işaretlerdim. Çok zaman kazanıldı.
  • Etkilenen Koa sürümleri güvenlik açığı sayfasında listelenecektir .

Bu arada Sonatype, ticari tekliflerinde, örneğin bir uygulamanın bildirilen güvenlik açıklarından etkilenip etkilenmediğini görmek için kod düzeyinde gerçek kontroller gerçekleştiren bazı harika kontroller olduğunu da belirtti. Kulağa hoş geliyor ve kütüphaneler için güvenlik açığı puanlarının nasıl hesaplandığı bilim kurgu doğası göz önüne alındığında, bu tür kontroller, özellikle işler böyle devam ederse, mühendislik ekiplerinin üzerindeki yükü azaltmak için olmazsa olmazdır.

Çözüm

Sahip olduğum tüm güncellemeler bu kadar. Sonatype'a ulaştığıma sevindim çünkü çok profesyonel ve arkadaş canlısılar. Bu konuda onlarla çalışmak bir zevkti.

Koa'daki XSS ile ilgili olarak: bu, birkaç yıldır hiçbirimizin endişelenmemesi gereken bir şey.

JavaScript'te Veri Yapıları
JavaScript'te Veri Yapıları
Bağlantılı Liste Nedir? [Bölüm 1]
Bağlantılı Liste Nedir? [Bölüm 1]
Öyleyse, Bağlantılı Listelerden Bahsedin
Öyleyse, Bağlantılı Listelerden Bahsedin
Her Şey Başarısız Olduğunda Yaratıcı Olun
Her Şey Başarısız Olduğunda Yaratıcı Olun
My Starship at the End of The World
My Starship at the End of The World
Balkabağı ve lahana lazanya
Balkabağı ve lahana lazanya
Başarısız olmaktan korkmayan Walker Buehler, NLCS Game 6'da sakince tekrar başardı
Başarısız olmaktan korkmayan Walker Buehler, NLCS Game 6'da sakince tekrar başardı
Well with Kell: Friend, Clean Your Gut!
Well with Kell: Friend, Clean Your Gut!
Komşum
Komşum
Parlak
Parlak
Pusula Olarak Yaratıcılık
Pusula Olarak Yaratıcılık
Korku ve Kederin Yaratıcılığa Etkisi
Korku ve Kederin Yaratıcılığa Etkisi
Yalnızlığın Yaratıcılığa Etkisi
Yalnızlığın Yaratıcılığa Etkisi
Peki ya Geri Dönecek Bir Yerim Yoksa?
Peki ya Geri Dönecek Bir Yerim Yoksa?
Görünmeyen Keder
Görünmeyen Keder
Sonunda Sigarayı Bıraktım
Sonunda Sigarayı Bıraktım
Kilitlenme-Üretken Olmadığım İçin Artık Kendimi Suçlu Hissetmiyorum
Kilitlenme-Üretken Olmadığım İçin Artık Kendimi Suçlu Hissetmiyorum
Amerika Her Zaman Acımasız, Yalnız Bir Vahşi Yaşam Olmuştur
Amerika Her Zaman Acımasız, Yalnız Bir Vahşi Yaşam Olmuştur
Borat 2'deki İki Sahnenin Kısa-Ish İncelemesi
Borat 2'deki İki Sahnenin Kısa-Ish İncelemesi
Transseksüel Çocuğunuzun Bir Terapiste İhtiyacı Var - Ve Sizin de
Transseksüel Çocuğunuzun Bir Terapiste İhtiyacı Var - Ve Sizin de
Transseksüel Oğlumun İzniyle Hayat Dersleri
Transseksüel Oğlumun İzniyle Hayat Dersleri
Endişenin Tüm Güce Sahip Olmasına İzin Vermeyi Reddediyorum
Endişenin Tüm Güce Sahip Olmasına İzin Vermeyi Reddediyorum
Tahriş Edici Yüz Maskeleri, Moda ve COVID-19 Korkuları
Tahriş Edici Yüz Maskeleri, Moda ve COVID-19 Korkuları
Samsung Galaxy Note 20 Ultra: Doğru Telefon, Yanlış Zaman
Samsung Galaxy Note 20 Ultra: Doğru Telefon, Yanlış Zaman
Melissa Gilbert Bir Kuşu Geceliğinin Altına Hapsederek Nasıl Kurtardı?
Petula Clark, "Downtown"un Umutsuz Bir Şarkıyı Ortaya Çıkardığını Söyledi
Paul McCartney, Başarısına Annesinin Nasıl Tepki Vereceğini Hayal Etti
Ringo Starr Tıklama Parçasıyla Çalmayı Reddediyor ve Bu Onu Daha İyi Bir Davulcu Yapıyor
Paul McCartney The Beatles'ın "Lucy in the Sky with Diamonds" Başlığına Nasıl Tepki Verdi?
Dolly Parton Tanrı'yı ​​Terk Edilmiş Bir Kilisede Buldu Yerel Gençler Seks Amaçlı Kullanıyor
Billy Crystal ve Robin Williams Tüm 'Arkadaşlarının' Cameo'sunu Reklam Yayınladı
John Ritter Nasıl Öldü: 'Three's Company' Aktörünün Ölümüne Geri Dönmek
Winona Ryder Bir Zamanlar Paylaştığı Tüm Karakterleri Kariyerinin Başında 'Çirkin Kız' Olarak Yazılmıştı
Paul McCartney bir 'Çavuş' Dedi. Pepper' Song Eroin Hakkında Değil
Paul McCartney Hiç Eroin Kullanmadığı İçin 'Şanslı' Olduğunu Söyledi 
George Harrison Got Üzgün ​​Donovan'ın 'Hurdy Gurdy Man' Şarkısının Sözleri Kullanılmadı
John Lennon The Beatles'ın "Devrim"indeki 1 Satırın Polise Yorum Yaptığını Söyledi
Bradley Cooper'ın Oyunculuk Kariyeri, Bu Projede Julia Roberts ile Çalıştığında Tehlikedeydi
Paul McCartney The Beatles'ın "When I'm Sixty-Four" Sözünün Şaka Olduğunu Söyledi
Quentin Tarantino Bir Zamanlar Yazdığı En İlginç Karakterin "Ucuz Roman"da Olduğunu Paylaşmıştı
Brad Pitt ve Harrison Ford, 'Senaryo Atıldığında' Anında 'Şeytanın Sahibi'ni Yaratmak Zorunda Kaldı
Dolly Parton, 'Geçersiz' Büyükannesine Diğer Torunların Hiçbiri Yapmayacakken Yardım Etti - O da Ona Şaka Yapardı
Bir Fab Four Insider'a Göre Grubun 'En Heyecan Verici Performanslarından' Biri Olan Erken Beatles Şarkısı
The Beatles Song Peter Asher, "Duyduğum En Harika Şarkı" Olarak Adlandırıldı
Gene Simmons, KISS Çizgi Romanlarının Potansiyel Olarak "İnsanlığı Yeniden Yaratabileceğini" Söyledi
"Boy Meets World": Bay Turner Neden Diziden Kayboldu?
Prince, Bir Stevie Nicks Şarkısı Üzerinde Bir Saat Çalıştı ve Telif Haklarının Yarısını Kazandı 
John Lennon, "The Tonight Show"un Neden Katıldığı "En Utanç Verici" Program Olduğunu Paylaştı
Stevie Nicks, Müzik Kariyerinin Başarısız Olduğunu Hissettiğinde 1 Joni Mitchell Şarkısına 'Kilitlendi'
'Metroda Uyumayın' Petula Clark'ı Şaşırttı
Taylor Sheridan En Sevdiği Yellowstone Yıldızlarından 1'ini 'Lawmen: Bass Reeves' Kadrosuna Ekledi
David Bowie Neredeyse Sahte Bob Dylan Şarkılarından Oluşan Bir Müzikal Yazacaktı
Jimmy Page'in Genç Müzisyenlere Tavsiyesi Doğrudan Motivasyonel Konuşmacı El Kitabından Alınmıştır
John Lennon, Bu B-52'nin Şarkısının Kulağa "Yoko'nun Müziği Gibi" Geldiğini Söyledi
Jana Duggar: Aşk ve 'Bir'i Bulmak İçin 5 Yıllık Penceresi Hakkında Söylediği Her Şey
Rolling Stones: Keith Richards, Grubu Eleştiren 1 Müzik Hayranı Grubu Tarafından Sinirlendi
Rolling Stones'un "Sympathy for the Devil" Şarkısı Başlangıçta Brezilya Müziği Gibiydi
Paul McCartney, Beatles Hakkındaki Gerçeği Söyleme Konusunda Neden "Korundu"?
"Natalia Grace'in Tuhaf Hikayesi": Nataila, Kristine ve Michael Barnett Bugün Nerede?
MIA Bir Kez John Lennon'ın "Barışa Bir Şans Ver"ine Saldırdı
Christopher Nolan Bir Zamanlar Quentin Tarantino'nun 'Ucuz Roman Senaryosunu' Okuduğuna Pişman Oldu
Frank Sinatra'nın 'Benim Yolum', 'Eski MacDonald'ı Kadar Büyük Değildi
Donovan, Şarkılarından 1'ini The Beatles'ın "Lucy in the Sky with Diamonds" şarkısıyla karşılaştırdı
Paul McCartney: Acı, The Beatles'ın 'Beyaz Albümü'nden 1 Şarkı Yaptı İyi
Bob Dylan'ı Mükemmel Parodileştiren Paul Simon Şarkısı 
Paul McCartney, Beatles'ın İptal Edilen Tek Şovu Hakkında O Kadar Stresliydi ki Kustu
Nicole Kidman, Michael Keaton ve Val Kilmer'in Batman Olarak Paylaştığı Bu 1 Çekici Özelliğe Bayıldı
Led Zeppelin Menajeri Peter Grant, Zep Kazanmadan Önce Sahte Bir Grubun Grammy Kazandığını Gördü
Sam Heughan, "Outlander" Setinden Ne Alacağını Tam Olarak Biliyor - "Onları Giydiğimde Jamie Olduğumu Hissediyorum"
Mick Jagger, Rolling Stones'un "Ony Satanic Majesties Request" Şarkısının The Beatles'tan Değil Asitten Esinlendiğini Söyledi
'Kırdaki Küçük Ev' Çekim Yerini Ziyaret Etmek İçin En İyi Zaman
"The Waltons"tan Judy Norton, Diziyi Çekerken Bazen "Bir Velet" Olduğunu Fark Etti
Harika Kaçışlar! Kaçan ve Kaçan 5 Vahşi Hayvan
1500 Dolar Bugün 2172'ye Yellowstone Geçişi Satın Aldı
Bazı Fizikçiler ve Filozoflar Diyor Zaman Olmayabilir
iPhone'unuzu Fabrika Ayarlarına Sıfırlama
Küçük Samiriyeliler Grubu Hala Kadim Dinlerini Uygular
Soykırım Nedir ve Rusya Ukrayna'da İşliyor mu?
En Tatlı Greyfurt Hangisi - Beyaz mı, Kırmızı mı, Pembe mi?
Ketanji Brown Jackson Yüksek Mahkeme Yargıcı Olarak Onaylandı
Şişelenmiş Su Bozulur mu?
Tavuk Çorbası Hasta Olduğunuzda Gerçekten Yardımcı Olur mu?
Afrika Otlaklarında Dolaşan 10 Savan Hayvanı
Hagfish: Bu Yılan Balığı Benzeri Balçık Makinesi Bir Yırtıcının Kabusu
Kit Cars, Sizi Dünyanın En Ateşli Arabalarının Sürücü Koltuğuna Yerleştiriyor
Ukraynalı Mülteciler Savaş Bittikten Sonra Bile Evlerine Dönemeyecek
Beyaz Saray'ın En Unutulmaz Düğünlerine Bir Bakış
Atlas Güvesi Bir Behe ​​Güvesidir, Artı 5 Diğer Gerçek
Orkide Mantis Çiçeğe benziyor, Arı gibi 'Sokuyor'
Kanseri Yenmek İçin Olumlu Bir Tutuma Sahip Olmanız Gerekiyor mu?
Martha Mitchell: Watergate Hakkında Çok Şey Bilen Kadın
Pripyat: Çernobil'in Gölgesindeki Ukrayna Hayalet Kasabası
Sanal Enerji Santralleri ABD Enerji Şebekesini Stabilize Edebilir mi?
The Secrets of Airline Travel Quiz
Why Sriracha Is Everybody's Favorite Hot Sauce
Elon Musk Twitter'ın sahibi. Ne Muhtemelen Yanlış Gidebilir?
Diğer Sitelere Giriş Yapmak İçin Facebook'u mu Google'ı mı Kullanmalısınız?
"Lam Üzerinde" İfadesi Nereden Gelmiştir?
Tarot Kart Okumalarında Kupa Yedilisinin Anlamı
Nesnel ve Öznel Düşünme ve Uygulamaları
İstatistikler, Küresel Isınmanın Saldırganların Duvarları Aşan Topları Atmasına Yardımcı Olduğunu Söyledi
Demokrasi ve Cumhuriyet Arasındaki Fark Nedir?
Nem Nedir ve Nem Sıcaklığı Nasıl Etkiler?
Maya Angelou'dan 5 Etkili ve Kalıcı Alıntı
ABD'de Neden 'İadesiz' Vergi Dosyalama Sistemi Yok?
Anında ve Aktif Kuru Mayalar Arasındaki Fark Nedir?
Where in the World Are You? Take our GeoGuesser Quiz
Sonifikasyon: Evrenin Perili Seslerini Dinlemek
Belki Çok İnce Olabilirsiniz? Dünyanın En İnce Gökdeleniyle Tanışın
'Kulaktan Kulağa' Çaldığınızda Aslında Ne Yapıyorsunuz?
Zehir Hapı Nedir ve Twitter Elon Musk'ı Körfezde Tutacak mı?
Venedik Bienali 'Sanat Olimpiyatları'
Güneş Sistemindeki En Yüksek Dağ Everest'ten Çok Daha Yüksek
Suyumuzu Temiz Tutmaya Yardımcı Olmak İçin Saçınızı Bağışlayın
Yeni Ölçülen W Bozonu Standart Modeli Kırabilir mi?
Kurtçuklu Yasadışı Peynir Casu Marzu'yu Yer misiniz?
İndüksiyonla Pişirme Gazlı mı yoksa Elektrikli mi Daha İyi?
Muhabbet Kuşları Süper Sosyaldir ve Harika Evcil Hayvanlardır
Chief Plenty Coups: Crow Nation'ın Vizyoner Lideri ve Savunucusu
Pontius Pilate, İsa'nın Çarmıha Gerilmesinden Önce ve Sonra Kimdi?
My Elden Ring: Shadow Of The Erdtree Oyuncu Çağrısı, Dereceli
Marvel'ın Kara Panter Gösterisi Şimdiye Kadarki En Önemli Animasyon Gösterisi Olacak
Cate Blanchett'in Elektrikli Testereyle Desteklenen Kilitlenme Histerisi Onu Sınır Bölgelerine Götürdü
Cate Blanchett Neden Borderlands Filminde Yer Aldığını Açıklıyor
Zelensky'nin Eşi, Rus Propaganda İddialarına Rağmen Aslında Bugatti Tourbillon Satın Almadı
Bir Corvette İstiyorsunuz Ama Korkunç Görünmesini mi İstiyorsunuz? Oğlum, sana göre bir arabamız var mı?
RIP Robert Towne, Çin Mahallesi'nin Oscar ödüllü senaristi
Bir Kadının Onları Boğmaya Çalıştığı İddiasıyla İki Filistinli Çocuk "Travma Geçirildi"
Louisiana'lı Bir Adam Suç Çılgınlığı Öncesinde Ürpertici Bir Uyarı Gönderdi
BMW, Araç Taşıyıcısında Yanan Araçların Satışa Çıkmasını İstemiyor
Popüler YouTube Rapçisi ve Ünlü TikTok Sihirbazı Viral Havlama Maçına Giriyor
Motorweek'in Acura Efsanesine Yönelik Unutulmuş Bir Britanyalı Sterling'i Test Etmesini İzleyin
Luther Vandross'un Yeğeni, Oprah Winfrey ile İnme Sonrası Yürek Kıran Röportajı Hakkında Söyleyecek Bir Şeyleri Var
Boeing, Herkesin Starliner ISS Testinin Başarısız Olduğunu Söylemeyi Durdurmasını İstiyor
Yeni Açık Kaynak Hataları Binlerce iOS Uygulamasını Ele Geçirilmeye Karşı Savunmasız Bırakıyor
Vahşi Sebep Genç Eşkıyanın YSL Riko Davasındaki Kaderi Beklenenden Daha Uzun Sürecek
Fani Willis ve Trump Seçimlerine Müdahale Davasına Kötü Haber
Viral Videoda Korkunç Türbülans Adamı Tepedeki Çöp Kutusuna Gönderdi
Bazı Mortal Kombat Hayranları En Son Oyunun Zaten Öldüğünden Endişe Ediyor, Ancak Daha Karmaşık Olabilir
9.800 Dolara, Bu Yedi Koltuklu 2008 Toyota RAV4'e 'Bunları Paketler misiniz'?
Xbox Büyük Kesinti Yaşıyor [Güncelleme: Yeniden Çalışıyor]
Tiana'nın Bayou Macerası, Tuhaf Disney Prensesi Canon'un 87 Yılını Kırıyor
Final Fantasy 14 Oyuncusuna Dawntrail'deki Diyaloğu Okumaları İçin Yalvarıyorum
Ridley Scott, Alien ve Blade Runner'ın devam filmleri dağıtıldığında "mutlu değildi"
MaXXXine Fazla Uysal Hisseden Dolgun Bir Hollywood Hikayesi
Eddie Murphy, Beverly Hills Polisi: Axel F basın turunda her şeyi anlatıyor
AI, size PDF'ler veya başka şeyler okumak için ölü ünlülerin seslerini mezardan çıkaracak
Hollandalı Bir Havayolunun 440 Sincabı Dev Bir Öğütücüye Koyduğunu Hatırlıyor musunuz?
Artık Bilim Kurgunun En İkonik Bikinisine Sahip Olabilirsiniz
Anket: Demokratlar Biden'ı Biden'la mı, Biden'la mı yoksa Biden'la mı Değiştirseler de Trump'ın Peşinde
Yüksek Mahkeme, Trump'ın 9 ile 5 Arasında İşlenen Her Tür Suçtan Dokunulmaz Olacağına Karar Verdi
Bilime Dayalı Bu Stratejilerle Kedinizin Mobilyaları Tırmalamasını Önleyin
Land Rover Defender Octa, Raptors Of The World'e Gelen 626 HP'lik Bir Canavar
Deadpool ve Wolverine Nihayet Marvel'ın X-Men Filmlerinin Kilidini Açacak
Lionsgate, Now You See Me 3'ün başlığını Now You Three Me olarak değiştirmesi için kendisine bir yıl süre verdi
Papa Francis İlk Bin Yıllık Azizi Onayladı
Ryan Reynolds'un Reddedilen Birçok Deadpool 3 Fikrinden Biri Bağımsız Bir Yol Gezisiydi
Biden, Yüksek Mahkemenin Trump Dokunulmazlığı Kararına Karşı Alkışlayarak Kontrolsüz Güç Tehlikesine Dikkat Çekti
Kendinize Bir İyilik Yapın ve Yılın En İyi Speedrunning Etkinliğini İzleyin
Simone Biles SZA'yı Olimpiyatlara Hazırlayabilir mi?
McLaren IndyCar Sürücülerini Kovmayı Durduramıyor, Aslında Bunu Seviyor
İşte Eddie Murphy'nin Ünlü Kahkahasını Değiştirmeye Neden 'Zorlandığı'
İyi Değil: Beril Kasırgası Kayıtlı Tarihteki En Erken Kategori 5 Fırtınasıdır
Bear'ın özeti: Marcus Chicago'nun en nazik, en yumuşak, en samimi adamı mı?
Amazon Teslimat Vanı, Houston'ın Yaz Sıcağında Ateşli Bir Patlamayla Ateşlendi
Sürücü Tesla Cybertruck'ı Çevirmeyi Başarıyor, Kendi Kendine Sürüşe Gerek Yok
Twister Direktörü Twister'larla İlgili Tornado Uyarısını Almadı
Beverly Hills Polisi: Axel F incelemesi: Eddie Murphy, Netflix'in karmaşık olmayan gerilemesinde işi kolaylaştırıyor
'Euphoria'dan Chloe Cherry 28 Dolarlık Bluz Çaldığı İddiasıyla Hırsızlık Suçuyla Karşı Karşıya
Yara Shahidi'nin Ailesi: Aktrisin Ebeveynleri ve Kardeşleri Hakkında Her Şey
Margaret Josephs, Melissa ve Joe Gorga'nın Teresa Giudice'nin Düğününü Atlamak İçin 'Yıkıcı' Seçimini Savunuyor
Amazon Müşterileri, 10 Dolar Kadar Küçük Olan Bu İpek Yastık Kılıfları Sayesinde "Şımartılmış Bir Bebek Gibi" Uyuduklarını Söyledi
Tom Girardi Dolandırıcılık Suçlamalarından Yargılanma Yetkisinin Belirlenmesi İçin Duruşmaya Katıldı
Suzanne Somers ve Alan Hamel'in İlişki Zaman Çizelgesi
Animal Rescue, 'Mücadele Eden' Pembe Güvercin NYC'de Dolaşırken Bulunduktan Sonra 'Asla Kuş Boyamayın' Uyarısında Bulundu
Law & Order'dan Danielle Moné Truitt, Hayranların 'Kandırıldığını' Düşünüyor; Stabler ve Benson Kiss Tease tarafından
Hemşire Lucy Letby, İngiliz Hastanesinde 7 Bebeği Öldürmekten Suçlu Bulundu
Muni Long, 3 Grammy Adaylığı Kazanmasını Henüz "İşlemden Geçirmediğini" Söyledi: "Her Şey Çok Hızlı Gidiyor"
Gwyneth Paltrow, Brad Pitt ile İlişkisinden Sakladığı Randevu Gece Elbisesini Açıkladı 
Whoopi Goldberg, Kit Harington'a "Game of Thrones" -İlham Veren Tuvaletini Gösteriyor: "Gerçek Bir Demir Taht"
ABD Artistik Patinaj, Takım Etkinliğinde Nihai Kararın Olmamasından 'Hayal Kırıklığına Uğradı', Adil Karar Çağrıları
Lizzo, Başvuru Reddedildikten Sonra Tersine Döndürmede '100% THAT Bitch' Ticari Markasını Aldı
Uzun Süredir 'Fiyat Doğru' Sunucusu Bob Barker, 99 Yaşında Öldü: 'Dünyanın En İyi Sunucusu'
Laguna Beach Oyuncuları: Şimdi Nerede?
John Cleese'in Karısı Kimdir? Jennifer Wade Hakkında Her Şey
Müşteriler, Bu Siyah + Katlı Yer Süpürme Makinesinin Geleneksel Bir Süpürgeden 'Çok Daha Hızlı' Olduğunu ve Satışta Olduğunu Kabul Ediyor
MSNBC'den Yasmin Vossoughian, Doktorun Göğüs Ağrılarını Reflü Olarak Reddettiğini ve Ardından 'Kabusunun' Başladığını Söyledi
Kirstie Alley's Estate, Late Star'ın Lisa Marie Presley'den Satın Aldığı 6 Milyon Dolarlık Florida Evini Listeliyor
Gal Gadot ve Jamie Dornan Yüksek Riskli 'Heart of Stone' Fragmanında Casusluk Aksiyonunu Getiriyor
Zoë Kravitz'in Ebeveynleri Lenny Kravitz ve Lisa Bonet ile İlişkisi Hakkında Her Şey
Vince Vaughn'un Karısı Kimdir? Kyla Weber Hakkında Her Şey
37 Yıl Önce Karayolunda Baygın Bulunduktan Sonra Ölen Kadının 4 Çocuk Annesinin Kayıp Annesi Olduğu Tespit Edildi
Jason Kennedy'nin Karısı Kimdir? Lauren Scruggs Kennedy Hakkında Her Şey
Bengals Geri Koşuyor Joe Mixon, Kadına Ateşli Silah Doğrulttuğu İddiasıyla Tutuklama Emri Çıkarılmak Üzere Aranıyor
Charly Reynolds Yakın Zamandaki Vokal Kord Ameliyatını Açıkladı: 'Şarkı Söylemekte Sorun Yaşıyordum'
Lisa Vanderpump'ın Kocası Kimdir? Ken Todd Hakkında Her Şey
Michael C. Hall'un Karısı Kimdir? Morgan Macgregor Hakkında Her Şey
Olympian Jasmine Camacho-Quinn, Kardeşi Robert Quinn'in Super Bowl'a Gitmesini Kutluyor
17 Yaşındaki Kayıp Kız Wisconsin Kırsalında Bir Hendeğe Girdikten Sonra Muhtemelen Donarak Öldü: Yetkililer
Marvel Aslında "Ant-Man and the Wasp: Quantumania"dan Kurgusal Bir Scott Lang Anı Yayınlıyor
Kadın Canlı Bulundu ve Iowa Cenaze Evinde Ceset Torbasında 'Soluk soluğa'
Nordstrom Rack'teki Bu Gizli Satış Bölümünde 2.500'den Fazla Soğuk Hava Tarzı Saklanıyor - 6 Dolardan Başlayan Fiyatlarla
Susan Lucci, Henüz Çıkmaya "Hazır Olmadığını" İtiraf Eden Rahmetli Kocasını Gözyaşları İçinde Hatırlıyor
Heather Rae ve Tarek El Moussa Erkek Bebeklerini Karşılıyor: 'Kalplerimiz Çok Mutlu'
Dwayne Johnson, Gece Araba Kazasından Sonra Annesinin "İyi" Olduğunu, "Değerlendirilmeye Devam Edeceğini" Söyledi
Liev Schreiber'in Kız Arkadaşı Kim? Taylor Neisen Hakkında Her Şey
Ava Gardner'ın flört geçmişi: Hollywood ikonunun evliliklerine ve aşklarına bir bakış
Rapçilere Ait Olduğuna İnanılan Cesetler İptal Edilen Konser Bulunduğundan Beri Kayıp: 'Bunu Hak Etmediler'
'Teen Mom'dan Chelsea Houska, HGTV Şovu 2. Sezon Yenilemesine Ağlamaklı Tepki Verdi: 'Çok Anlamlı'
Purdue Üniversitesi Profesörü, Meth Sattığı ve Kadınlara Cinsel İyilik İçin Teklif Verdiği İddiasıyla Tutuklandı
Jay Shetty'nin Karısı Kimdir? Radhi Devlukia-Shetty Hakkında Her Şey
Paul McCartney, Karısı Nancy Shevell ile 'Romantik' Olmak Üzerine: 'Sevgililer Günü'nü Tamamen Abartıyorum'
TJ Watt, Tom Brady ve Kardeş JJ'in Birlikte NFL Onur Listesi'ne Girdiğini Görmek İstiyor
Matthew McConaughey, Bir Falcının Kendisine 'How to Lose a Guy in 10 Days'de Oynamasını Söylediğini Açıkladı
Eric ve Jessie James Decker Her Zaman "Birbirlerini Öpüyorlar" - Çocuklar Bundan Hoşlanmıyor
Molly Ringwald, Kocası Panio Gianopoulos ile 22. Yıldönümünü Kutluyor: 'Verdiğim En İyi Karar'
19 yaşındayım ve tek çocuğum. Depresyona giriyorum ve aileme bir şey olacağı için endişeleniyorum çünkü sahip olduğum tek şey onlar. Hiç arkadaşım yok ve pandemi ile hiçbir şey yapamadım. Yalnız kalmaktan korkuyorum, kendime yardım etmek için ne yapabilirim?
Ben 23 yaşındayım. Şimdi hayatımı sonsuza dek değiştirecek ne yapabilirim?
Sadece ergenliğe girdiğimde belirtiler göstermeye başlarsam hala transseksüel miyim (FTM)?
13 yaşında HRT'ye geçerseniz ne gibi değişiklikler olacak?
Erkekten kadına doğal olarak geçiş yapmanın en iyi yolu nedir?
18 MTF'ye geçmek için iyi bir yaş mı?
17 yaşına yeni girdim, kendime en iyi hayatı garanti etmek için şimdi ne yapacağım?
14 yaşındayken yapabileceğim en faydalı şey nedir?
Erkekten kadına geçişimi nasıl başlatırım? Ben her zaman içeride bir kız oldum. Ne yapmaya ihtiyacım var?
MTF HRT hormonlarına 13 yaşında başlayabilir misin?
Ergenlik engelleyicileri olmadan ergenliği nasıl durdurabilirim?
Ben hobilerinden çabuk sıkılan 14 yaşında biriyim. Tutkumu ve yeteneğimi nasıl bulurum?
Önümüzdeki ay 16 oluyorum 17 oluyorum. Annem bir terapiste ihtiyacım olmadığını düşünürse, nasıl bir terapist bulabilirim?
13 yaşında biri olarak, ailemin haberi olmadan nasıl para biriktirip biriktirebilirim?
13 yaşında ama yine de kalpten bir çocuk olmam sorun olur mu?
Erkekten kadına cinsiyet geçişi sırasında göğüs büyütmek nasıl bir duygu?
Bu 3 aylık yaz döneminde ustalaşabileceğim gerekli yaşam becerileri nelerdir? Ben 17 yaşındayım.
19 yaşında bir hayatı nasıl dolu dolu yaşarım?
Neden hiç kadından erkeğe transseksüel birini görmedim?
13 yaşındayım, transseksüel(ftm) ve birkaç aydır bir terapist görüyorum. Ona trans olduğumu nasıl söylerim ve dışarı çıkması için tavsiye vermesini nasıl sağlarım?
17 yaşında hayatımı nasıl değiştirebilirim?
Kadından erkeğe geçişe başlamak için en iyi yaş nedir?
21 yaşında üniversite öğrencisiyim. Şimdi hayatımı sonsuza dek değiştirecek ne yapabilirim?
Herkes ergenliğe girer mi?
17 yaşındayım ve bu yıl 18 yaşında mezun olduğumda HRT'ye girmeyi planlıyorum. O zamana kadar kendimi daha kadın hissetmek için ne yapabilirdim?
Kadından erkeğe geçiş yapıyorum. Yeni adım ne olmalı?
Ergenliğin artıları ve eksileri nelerdir?
Yarın 16 yaşına gireceğim. 16 yaşındaki bir çocuğa ne gibi tavsiyelerde bulunabilirsiniz?
Transgender: Erkekten kadına geçişinizin en zor yanı neydi?
Sizce hangisi daha zor cinsiyet geçişi, kadından erkeğe (FtM) veya erkekten kadına (MtF)?
HRT'ye 18 yaşında (transseksüel) başlamak iyi bir fikir mi?
Bugün 19 yaşındayım. Öğrenmem gereken en önemli şey nedir?
Hangi ilaçlar ameliyatsız bir erkeği dişiye dönüştürebilir?
13 yaşında bir depresifim ve bu konuda bir doktora görünmek istiyorum, ama bunu yapmaktan korkuyorum ve ailem bunu hormonlarım gibi görmezden gelecek. Ne yapmalıyım?
Hiç ergenliğe girmezsen ne olmalı?
Transgender gençler için HRT önerilir mi?
19 yaşındayım. Hâlâ ergenlikten mi geçiyorum?
17 yaşındayım, daha fazla bilgi edinmek için ne yapmalıyım?
14 yaşında bir gencin aklında tutması gereken en önemli şey nedir?
Ergenliğe girmenin (ruh sağlığı vb.) olumsuz etkileri nelerdir?
Spironolakton HRT için kötü mü?
30 yaşındayım. Şimdi hayatımı sonsuza dek değiştirecek ne yapabilirim?
HRT istediğimi söylemeden nasıl HRT alabilirim?
14 yaşındayım, bana hayatımın geri kalanında yardımcı olacak ne tavsiye vermek istersin?
14 yaşındaki biri hayatlarını daha iyi/kolay hale getirmek için ne yapabilir?
Ailem olmadan ve neden gittiğimi bilmeden nasıl doktor randevusu alabilirim? 15 yaşındayım.
Erkekten kadına geçiş için alt cerrahi buna değer mi?
Bir ay içinde 17 olacağım ve 11 yaşından farklı hissetmediğimi düşünüyorum, bu normal mi? Yaşlandıkça gerçekten değişecek miyim?
"Suçluluk duymazlar ve ölmezler"
" $\Sigma_1^1$-Peano aritmetiği ”- sabitliyor mu $\mathbb{N}$?
Musa'nın ilk lider grubu Exodus 18:21
Yapıştırıcı kullanmadan şaman çubuğuna kristalleri nasıl bağlarım?
Normal ifade_arama c++
Üretimde RL elde etmenin önündeki en büyük engeller nelerdir?
.NET Core 3.1'de bir C # Soketini kapatmanın doğru yolu nedir?
Satürn'ün halkaları nasıl kaldırılır?
Sağlık sorunları nedeniyle öğrenciyi reddeden doktora danışmanı hakkında
Maksimal antikainler, dağılım kafesleri açısından karakterize edilebilir mi?
Uranüs, iç bileşimi ve iç ısı eksikliği nedeniyle katı bir yüzeye sahip olabilir mi?
Kurt Adam Modasının Tarihi, Bölüm 1: 2000'ler
Ellerman bombaları nedir ve onları nasıl tanımlayabiliriz?
winforms C # .NET - Döngüleri kullanırken kodumun Performansını Nasıl Artırırım (for, foreach, vb ...) [kapalı]
Ortaçağda yollarda hız sınırları nasıl izlenir? [çiftleme]
Yargıtay, suçlamayı anayasaya aykırı ilan edebilir mi? [çiftleme]
Yeni bir Stacks düzenleyicisi için alfa testini etkinleştirin
Mayıs 2019 güvenlik olayına daha derin bir bakış: blog yayını geri bildirimi
java: Map <String, Set <String>> [duplicate] içindeki tüm farklı anahtarların ve değerlerin sayısını al
Kubernetes - Pod.yaml ve Service.yaml'yi tek bir yaml dosyasında (ancak Dağıtım olmadan) birleştirmek mümkün mü
Bir dizinin aynı olan 2 veya daha fazla öğeye sahip olup olmadığını nasıl görebilirim? [çiftleme]
Mars'taki kum fırtınalarından elektrik üretebilir miyiz? Varsa kolonilere güç sağlamak için kullanılabilir mi?
Yansıma ilkesi ve evrenler
Wilson etkisi: Güneş lekeleri ne kadar “derin”?
3 x 2 sürgülü bulmaca
MOC'ler: LEGO ticari markasının kullanımıyla ilgili bir soru
[Önek] [ek] [sonek] izni isteyin. [Bütün] nedir?
Ay, Dünya'ya çarpmamak veya uzaya kaçmamak için doğru hıza sahiptir. İhtimaller nelerdir?
bir dizi olduğunu kanıtlayın $\{a_n\}_n$tarafından tanımlanan $a_1=-\frac14$ve $-a_{n+1}=\frac{a_na_{n+1}+4}4$yakınsaktır ve limitini bulunuz.
Type = color içindeki iç kenarlığı kaldır
DB VE / VEYA gruplamasından Joomla seçin
SSL ile Tomcat'e nginx proxy'si
Karmaşık bir LabelSelector ile k8s işlerimi client-go ile nasıl listeleyebilirim?
Stern-Brocot ağacı, daha iyi yakınsama için kullanılabilir mi? $2^m/3^n$?
Çifte zorlanmış bir eş pozisyonu var mı?
Uçuşlar neden iniş yaklaşma yollarına daha erken uçmuyor?
Try catch kullanarak BeginTransaction'ı kullanmanın en temiz yolu
Kitabımın sonunda eşcinsel karakterimi öldürmek saldırgan mı?
"Kırk gün kırk gece"
Bir uydunun bugünün izin verilen çözünürlüğü ile tarayabilmesi için çatımda QR kodunun ne kadar büyük olması gerekir?
Exodus'ta "parlamak" için yaygın olmayan bir İbranice kelimenin kullanımı
Div sınıfına ait belirli bir metin nasıl alınır
Scriban'da Link öğesinin bir Link alanının href değerini alma [duplicate]
CC-BY-SA 4.0 altında lisanslanan değiştirilmemiş api verilerini kullanırsam uygulamamı açmam gerekir mi?
Yelken Çağı'nda meyve ve sebze turşusu neden (Avrupa) rasyonlarının bir parçası değildi?
Salamura C Vitamini yok ederse, Lahana Turşusu C Vitamini açısından ne kadar zengindir?
Listeyi iç içe geçmiş listenin öğelerine göre grupla [yinelenen]
Örnek olay incelemesi: Quillen'in ZFC'deki küçük nesne argümanını formüle etmek ve kanıtlamak için ne gerekiyor?
İlginç Makalelere Yol Açan 5 Yaratıcı Yazma Tekniği
İlginç Makalelere Yol Açan 5 Yaratıcı Yazma Tekniği
Varlık Kontrolü için bir sohbet robotu
Varlık Kontrolü için bir sohbet robotu
Sessizlik
Sessizlik
Bir İlişkide İlk İçgüdünüze Güvenmek Hayati Önemlidir
Bir İlişkide İlk İçgüdünüze Güvenmek Hayati Önemlidir
2020'de ne inşa ediyoruz
2020'de ne inşa ediyoruz
Akış hata bastırmalarını daha spesifik hale getirme
Akış hata bastırmalarını daha spesifik hale getirme
2020'de Yapay Zeka Mühendisleri için En İyi Programlama Dilleri
2020'de Yapay Zeka Mühendisleri için En İyi Programlama Dilleri
Derin Öğrenme için PyTorch'u Seçme Nedenleri
Derin Öğrenme için PyTorch'u Seçme Nedenleri
Samantha Lazar
Samantha Lazar
Bir Yılın Koşuşturmacası
Bir Yılın Koşuşturmacası
Davet
Davet
Metin Görselleştirme için İki Python Deposu
Metin Görselleştirme için İki Python Deposu
En İyi Şekilde Yararlanmak: Hibrit Uygulama Kullanıcı Deneyimi Tasarımı
En İyi Şekilde Yararlanmak: Hibrit Uygulama Kullanıcı Deneyimi Tasarımı
Flutter'da Bildirim ve Alarmlar
Flutter'da Bildirim ve Alarmlar
Brendon Burchard'dan Öğrendiğim 6 Şey
Brendon Burchard'dan Öğrendiğim 6 Şey
Çok Üretken İnsanların Ritüalist Bir Sabah Rutini Var
Çok Üretken İnsanların Ritüalist Bir Sabah Rutini Var
Öğlene Kadar Sizin İçin En Önemli Olan Şeyi Yapın
Öğlene Kadar Sizin İçin En Önemli Olan Şeyi Yapın
Neden İşleri Şahsen Almamalısınız
Neden İşleri Şahsen Almamalısınız
Başarılı Olanların Ortak Olduğu 5 Şey
Başarılı Olanların Ortak Olduğu 5 Şey
Spektrumda Cadılar Bayramı
Spektrumda Cadılar Bayramı
Ben Otistik Bir Yetişkinim ve Cadılar Bayramından Nefret Ediyorum
Ben Otistik Bir Yetişkinim ve Cadılar Bayramından Nefret Ediyorum
George W. Bush'un Ahlakına Onay Vereceğimi Hiç Düşünmemiştim
George W. Bush'un Ahlakına Onay Vereceğimi Hiç Düşünmemiştim
Merkezi Olmayan Finansmanın Ortaya Çıkışı
Merkezi Olmayan Finansmanın Ortaya Çıkışı
2020'de DeFi'nin patlayıcı büyümesini görselleştirme
2020'de DeFi'nin patlayıcı büyümesini görselleştirme
ja/shares
es/shares
de/shares
fr/shares
th/shares
pt/shares
ru/shares
vi/shares
it/shares
ko/shares
tr/shares
id/shares
pl/shares
hi/shares
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved