[突發][有圖] 手帶 App 的命運被孟加拉人操控

470 回覆
876 Like 13 Dislike
2020-03-26 23:12:37
Topic 有誤導,你假設左個JS host 係人地到就有機會俾個owner 自己改is 去行XSS,咁如果呢個假設成立既一街既網站都有呢個機會。

JS *
2020-03-26 23:13:10
Push
2020-03-26 23:13:18
send 唔 send 到資料去其他 domain
係取決於其他 domain 嘅 server-side 會唔會傳回一個 Access-Control-Allow-Origin 嘅 headers 包埋 https://eqapp1.hqss.ogcio.gov.hk

放得 XSS,即使頁面上有咩阻截到,佢亦可以直接將 location.href 指去第二版釣魚網站,用戶都可以唔察覺。玩法實在太多。
2020-03-26 23:13:35
A埋A埋咁多錢
APP就求其做
真係CLS
2020-03-26 23:16:42
無錯

呢件事係真係成立架
真係唔應該個 JS Host 係放喺人哋度
孟加拉先生真係可以隨時改個 JS

如果要用,都用 CDN,亦都好應該加埋 Subresource Integrity 去保障個 file 係正確嘅(但 iOS Safari 未支援)
2020-03-26 23:19:11
因為佢地懶得自己去Serialize Form,要靠一個人地寫嘅幾十行jQuery Code去做
WebDev傳統做法黎,你睇下npm個is-odd is-even有幾多人用就知
2020-03-26 23:22:31
up
2020-03-26 23:25:05
都要睇下連去邊先
連去Library本身嘅CDN就安全嘅,Library Developer有心改嘅話你自己Download放自己Server都會出事,無增加風險
但連去一個不知名IT9隨便改嘅Repo度就
2020-03-26 23:25:12
2020-03-26 23:26:42
抄曲
都唔知請埋啲咩人
粗製濫造
2020-03-26 23:27:12
2020-03-26 23:27:33
逆編程
2020-03-26 23:27:42
你好叻 做我男朋友得唔得?

利申 有鳩
2020-03-26 23:28:44
2020-03-26 23:30:22
2020-03-26 23:31:03
個web dev懶過閪囉
2020-03-26 23:31:41
外行人睇唔明
一個廿蚊一個二千蚊
好易就會揀廿蚊
2020-03-26 23:31:47
睇唔明 只係理解到港共正苦乜柒都求撚其其
2020-03-26 23:32:50
應該正苦入面冇經正常程序,特事特辦,比出面攪一野就出事。
2020-03-26 23:33:03
呢啲寫法行一行 netsparker, nussus 都一定狂爆 hi risk alert. “創新科技”署有無做 codescan 架
2020-03-26 23:35:28
根本唔係 xss 又唔係cors ... 唔好唔識扮識
依一樣係叫supply chain attack
技術上黎講孟加拉依個domain 可以當係一個 cdn mirror, 只不過唔係最出名姐嗎
係script 到直接引用人地既package 其實未必係錯,如果個個cdn 係可信既,好多 lib 既 installation 都會直接有cdn script provide 比你
當然你話係咪webpack直接pack埋一份vendor code 自己host會好的呢?都係既
但係其實supply chain attack 一樣可以出現,npm 本身係一個close source 既 centralized registry , 理論上佢可以比人hack
另一方面,有寫個 js 都知的 package 一個套一個。你根本無可能全部security review 晒。上年已經爆過一單supply chain attack on 一個好低層但好多人depend 既module
2020-03-26 23:39:31
其實真係唔係叫xss .... 依個case
2020-03-26 23:39:39
垃圾政府 做野無樣掂
2020-03-26 23:39:48
知多左樣野
2020-03-26 23:41:51
up
吹水台自選台熱 門最 新手機台時事台政事台World體育台娛樂台動漫台Apps台遊戲台影視台講故台健康台感情台潮流台上班台財經台房屋台飲食台旅遊台學術台校園台汽車台音樂台創意台硬件台攝影台玩具台寵物台軟件台活動台電訊台直播台站務台成人台黑 洞