[突發][有圖] 手帶 App 的命運被孟加拉人操控

毒撚研究所所長 2020-3-26 22:57:15 喺科技愈黎愈重要嘅年代對IT security 一無所知嘅政府同無著衫嘅人有咩分別

:^(

吸濕大笨象揸支槍 2020-3-26 22:57:24 此回覆已被刪除

弗里曼博士 2020-3-26 22:58:31 其實我好懷疑睇wifi準唔準，香港嘅居所咁窄，周圍都係鄰居啲wifi，有啲係手機嘅hotspot，有啲router又可以校時段自動開關

:^(

竹篙灣朋友 2020-3-26 22:58:33 畀人sql injection drop 咗個db就好笑

:^(

個app應該幾有教學用途

:^(

諸如此類 2020-3-26 22:58:42 GitHub係Microsoft控制ge bo
普通browser受Cross-origin resource sharing限制，佢最多資料外泄比Microsoft

如果政府係佢個網站咁樣set header先會有cross site scripting 漏洞
Access-Control-Allow-Origin: *

有時候... 2020-3-26 23:01:06 政府HOME OFFICE邊有人寫呢D野
擺明就係比幾十萬外判出去
出面D VENDOR 十個有九個都係抄CODE

:^(

BroJersey 2020-3-26 23:02:34 此回覆已被刪除

超膠 2020-3-26 23:02:57 咁簡單既一頁野邊使買

:^(

，幾分鐘寫好

殺龍Bra絲 2020-3-26 23:03:05

:^(

六環彩大師 2020-3-26 23:03:57 推到上報

:^(

利申 code狗睇得明

牛欄牌奶粉 2020-3-26 23:04:11 呢個要推上報先得

:^(

IT小狗 2020-3-26 23:05:24 GitHub 係 Microsoft 擁有
但呢個 technext 入邊嘅 code 就由呢位孟加拉人兄隨時修改

佢用＜script＞ tag load 呢個 JS
理論上佢用 document.write 將成版重新寫過都仲得

無題 2020-3-26 23:06:05 cors not xss

超膠 2020-3-26 23:06:25 一個jquery已經夠

IT小狗 2020-3-26 23:07:02 各位，嗰個頁面已修正了，而家改咗放晒上 CDN

:^(

芝士近薯蓉 2020-3-26 23:07:07 笑撚死

咸濕胡迪 2020-3-26 23:07:19 好想睇政府仆街有無人contact個developer

:^(

JJ爸 2020-3-26 23:10:04 應該係呢間https://www.compathnion.com/contact.html

play store link https://play.google.com/store/apps/details?id=com.compathnion.equarantine

:^(

諸如此類 2020-3-26 23:10:18 呢個唔係bug係feature

:^(

technext最多可以改個網頁，但係send唔到資料去其他domain
個關鍵係Access-Control-Allow-Origin header同其他CORS header

IT小狗 2020-3-26 23:10:18 今次係有漏洞
未有證據係洩漏資料

選舉事務處成部電腦唔見都未有事，我估未咁容易仆街

:^(

另外，個漏洞已經修正咗喇

:^(

要叫咩名好 2020-3-26 23:10:22

:^(

路經此地 2020-3-26 23:10:30 應該俾番獎金樓主

:^(

毒撚研究所所長 2020-3-26 23:10:59

:^(

伊藤計劃 2020-3-26 23:11:38 Topic 有誤導，你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS，咁如果呢個假設成立既一街既網站都有呢個機會。

咸濕胡迪 2020-3-26 23:12:37 咁快fix咗睇黎間vendor都長期mon 連登

:^(