[突發][有圖] 手帶 App 的命運被孟加拉人操控

喺科技愈黎愈重要嘅年代對IT security 一無所知嘅政府同無著衫嘅人有咩分別

其實我好懷疑睇wifi準唔準，香港嘅居所咁窄，周圍都係鄰居啲wifi，有啲係手機嘅hotspot，有啲router又可以校時段自動開關

畀人sql injection drop 咗個db就好笑
個app應該幾有教學用途

GitHub係Microsoft控制ge bo
普通browser受Cross-origin resource sharing限制，佢最多資料外泄比Microsoft

如果政府係佢個網站咁樣set header先會有cross site scripting 漏洞
Access-Control-Allow-Origin: *

政府HOME OFFICE邊有人寫呢D野
擺明就係比幾十萬外判出去
出面D VENDOR 十個有九個都係抄CODE

咁簡單既一頁野邊使買，幾分鐘寫好

推到上報
利申 code狗 睇得明

呢個要推上報先得

GitHub 係 Microsoft 擁有
但呢個 technext 入邊嘅 code 就由呢位孟加拉人兄隨時修改

佢用 ＜script＞ tag load 呢個 JS
理論上佢用 document.write 將成版重新寫過都仲得

cors not xss

一個jquery已經夠

各位，嗰個頁面已修正了，而家改咗放晒上 CDN

笑撚死

好想睇政府仆街 有無人contact個developer

應該係呢間https://www.compathnion.com/contact.html

play store link https://play.google.com/store/apps/details?id=com.compathnion.equarantine

呢個唔係bug係feature
technext最多可以改個網頁，但係send唔到資料去其他domain
個關鍵係Access-Control-Allow-Origin header同其他CORS header

今次係有漏洞
未有證據係洩漏資料

選舉事務處成部電腦唔見都未有事，我估未咁容易仆街

另外，個漏洞已經修正咗喇

應該俾番獎金樓主

Topic 有誤導，你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS，咁如果呢個假設成立既一街既網站都有呢個機會。

咁快fix咗 睇黎間vendor都長期mon 連登