[突發][有圖] 手帶 App 的命運被孟加拉人操控

Topic 有誤導，你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS，咁如果呢個假設成立既一街既網站都有呢個機會。

JS *

Push

send 唔 send 到資料去其他 domain
係取決於其他 domain 嘅 server-side 會唔會傳回一個 Access-Control-Allow-Origin 嘅 headers 包埋 https://eqapp1.hqss.ogcio.gov.hk

放得 XSS，即使頁面上有咩阻截到，佢亦可以直接將 location.href 指去第二版釣魚網站，用戶都可以唔察覺。玩法實在太多。

A埋A埋咁多錢
APP就求其做
真係CLS

無錯

呢件事係真係成立架
真係唔應該個 JS Host 係放喺人哋度
孟加拉先生真係可以隨時改個 JS

如果要用，都用 CDN，亦都好應該加埋 Subresource Integrity 去保障個 file 係正確嘅（但 iOS Safari 未支援）

因為佢地懶得自己去Serialize Form，要靠一個人地寫嘅幾十行jQuery Code去做
WebDev傳統做法黎，你睇下npm個is-odd is-even有幾多人用就知

up

都要睇下連去邊先
連去Library本身嘅CDN就安全嘅，Library Developer有心改嘅話你自己Download放自己Server都會出事，無增加風險
但連去一個不知名IT9隨便改嘅Repo度就

推

抄曲
都唔知請埋啲咩人
粗製濫造

逆編程

個web dev懶過閪囉

外行人睇唔明
一個廿蚊一個二千蚊
好易就會揀廿蚊

睇唔明 只係理解到港共正苦乜柒都求撚其其

應該正苦入面冇經正常程序，特事特辦，比出面攪一野就出事。

呢啲寫法行一行 netsparker, nussus 都一定狂爆 hi risk alert. “創新科技”署有無做 codescan 架

根本唔係 xss 又唔係cors ... 唔好唔識扮識
依一樣係叫supply chain attack
技術上黎講孟加拉依個domain 可以當係一個 cdn mirror, 只不過唔係最出名姐嗎
係script 到直接引用人地既package 其實未必係錯，如果個個cdn 係可信既，好多 lib 既 installation 都會直接有cdn script provide 比你
當然你話係咪webpack直接pack埋一份vendor code 自己host會好的呢？都係既
但係其實supply chain attack 一樣可以出現，npm 本身係一個close source 既 centralized registry , 理論上佢可以比人hack
另一方面，有寫個 js 都知的 package 一個套一個。你根本無可能全部security review 晒。上年已經爆過一單supply chain attack on 一個好低層但好多人depend 既module

其實真係唔係叫xss .... 依個case

垃圾政府 做野無樣掂

知多左樣野

up