[突發][有圖] 手帶 App 的命運被孟加拉人操控

470 回覆
876 Like 13 Dislike
2020-03-26 22:57:15
喺科技愈黎愈重要嘅年代對IT security 一無所知嘅政府同無著衫嘅人有咩分別
2020-03-26 22:57:24
低級錯誤
2020-03-26 22:58:31
其實我好懷疑睇wifi準唔準,香港嘅居所咁窄,周圍都係鄰居啲wifi,有啲係手機嘅hotspot,有啲router又可以校時段自動開關
2020-03-26 22:58:33
畀人sql injection drop 咗個db就好笑
個app應該幾有教學用途
2020-03-26 22:58:42
GitHub係Microsoft控制ge bo
普通browser受Cross-origin resource sharing限制,佢最多資料外泄比Microsoft

如果政府係佢個網站咁樣set header先會有cross site scripting 漏洞
Access-Control-Allow-Origin: *
2020-03-26 23:01:06
政府HOME OFFICE邊有人寫呢D野
擺明就係比幾十萬外判出去
出面D VENDOR 十個有九個都係抄CODE
2020-03-26 23:02:34
孟加拉呀孟加拉
2020-03-26 23:02:57
咁簡單既一頁野邊使買,幾分鐘寫好
2020-03-26 23:03:05
2020-03-26 23:03:57
推到上報
利申 code狗 睇得明
2020-03-26 23:04:11
呢個要推上報先得
2020-03-26 23:05:24
GitHub 係 Microsoft 擁有
但呢個 technext 入邊嘅 code 就由呢位孟加拉人兄隨時修改

佢用 <script> tag load 呢個 JS
理論上佢用 document.write 將成版重新寫過都仲得
2020-03-26 23:06:05
cors not xss
2020-03-26 23:06:25
一個jquery已經夠
2020-03-26 23:07:02
各位,嗰個頁面已修正了,而家改咗放晒上 CDN
2020-03-26 23:07:07
笑撚死
2020-03-26 23:07:19
好想睇政府仆街 有無人contact個developer
2020-03-26 23:10:18
呢個唔係bug係feature
technext最多可以改個網頁,但係send唔到資料去其他domain
個關鍵係Access-Control-Allow-Origin header同其他CORS header
2020-03-26 23:10:18
今次係有漏洞
未有證據係洩漏資料

選舉事務處成部電腦唔見都未有事,我估未咁容易仆街

另外,個漏洞已經修正咗喇
2020-03-26 23:10:22
2020-03-26 23:10:30
應該俾番獎金樓主
2020-03-26 23:10:59
2020-03-26 23:11:38
Topic 有誤導,你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS,咁如果呢個假設成立既一街既網站都有呢個機會。
2020-03-26 23:12:37
咁快fix咗 睇黎間vendor都長期mon 連登
吹水台自選台熱 門最 新手機台時事台政事台World體育台娛樂台動漫台Apps台遊戲台影視台講故台健康台感情台潮流台上班台財經台房屋台飲食台旅遊台學術台校園台汽車台音樂台創意台硬件台攝影台玩具台寵物台軟件台活動台電訊台直播台站務台成人台黑 洞