[突發][有圖] 手帶 App 的命運被孟加拉人操控
上一頁
第 8 頁
下一頁
伊藤計劃 2020-3-26 23:12:37
Topic 有誤導,你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS,咁如果呢個假設成立既一街既網站都有呢個機會。

JS *
:^(

Ads
單身二十年 2020-3-26 23:13:10 Push
IT小狗 2020-3-26 23:13:18 send 唔 send 到資料去其他 domain
係取決於其他 domain 嘅 server-side 會唔會傳回一個 Access-Control-Allow-Origin 嘅 headers 包埋 https://eqapp1.hqss.ogcio.gov.hk

放得 XSS,即使頁面上有咩阻截到,佢亦可以直接將 location.href 指去第二版釣魚網站,用戶都可以唔察覺。玩法實在太多。
renlancer 2020-3-26 23:13:35 A埋A埋咁多錢
APP就求其做
真係CLS
IT小狗 2020-3-26 23:16:42 無錯
:^(


呢件事係真係成立架
真係唔應該個 JS Host 係放喺人哋度
孟加拉先生真係可以隨時改個 JS

如果要用,都用 CDN,亦都好應該加埋 Subresource Integrity 去保障個 file 係正確嘅(但 iOS Safari 未支援)
心晴日記 2020-3-26 23:19:11 因為佢地懶得自己去Serialize Form,要靠一個人地寫嘅幾十行jQuery Code去做
:^(

WebDev傳統做法黎,你睇下npm個is-odd is-even有幾多人用就知
:^(
我係打手 2020-3-26 23:22:31 up
心晴日記 2020-3-26 23:25:05 都要睇下連去邊先
:^(

連去Library本身嘅CDN就安全嘅,Library Developer有心改嘅話你自己Download放自己Server都會出事,無增加風險
但連去一個不知名IT9隨便改嘅Repo度就
:^(
煩煩煩煩過鬼 2020-3-26 23:25:12
允行大戰陳老師 2020-3-26 23:26:42 抄曲
:^(

都唔知請埋啲咩人
粗製濫造
勃朗特 2020-3-26 23:27:12
:^(

Ads
允行大戰陳老師 2020-3-26 23:27:33 逆編程
維尼一世 2020-3-26 23:27:42 此回覆已被刪除
允行大戰陳老師 2020-3-26 23:28:44
:^(
允行大戰陳老師 2020-3-26 23:30:22
:^(
:^(
:^(
:^(
:^(
:^(
:^(
:^(
:^(
:^(
:^(
:^(
釋即是凶 2020-3-26 23:31:03 個web dev懶過閪囉
:^(
允行大戰陳老師 2020-3-26 23:31:41 外行人睇唔明
一個廿蚊一個二千蚊
好易就會揀廿蚊
湖畔散步去 2020-3-26 23:31:47 睇唔明
:^(
 只係理解到港共正苦乜柒都求撚其其
勿通膠類 2020-3-26 23:32:50 應該正苦入面冇經正常程序,特事特辦,比出面攪一野就出事。
賓周郁下就好痕 2020-3-26 23:33:03 呢啲寫法行一行 netsparker, nussus 都一定狂爆 hi risk alert. “創新科技”署有無做 codescan 架
:^(
:^(
:^(
膠到無朋友 2020-3-26 23:35:28 根本唔係 xss 又唔係cors ... 唔好唔識扮識
:^(

依一樣係叫supply chain attack
技術上黎講孟加拉依個domain 可以當係一個 cdn mirror, 只不過唔係最出名姐嗎
係script 到直接引用人地既package 其實未必係錯,如果個個cdn 係可信既,好多 lib 既 installation 都會直接有cdn script provide 比你
當然你話係咪webpack直接pack埋一份vendor code 自己host會好的呢?都係既
但係其實supply chain attack 一樣可以出現,npm 本身係一個close source 既 centralized registry , 理論上佢可以比人hack
另一方面,有寫個 js 都知的 package 一個套一個。你根本無可能全部security review 晒。上年已經爆過一單supply chain attack on 一個好低層但好多人depend 既module

Ads
膠到無朋友 2020-3-26 23:39:31 其實真係唔係叫xss .... 依個case
:^(
爾安敢輕吾射 2020-3-26 23:39:39 垃圾政府 做野無樣掂
薄荷梳打 2020-3-26 23:39:48 知多左樣野
我係打手 2020-3-26 23:41:51 up
上一頁
第 8 頁
下一頁

使用條款及免責聲明 私隱政策
Copyright © 2024 LIHKG. All Rights Reserved.