这是一个创建于 619 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个项目引用了 cdn.bootcss.com 的一个 js 库
https://cdn.bootcss.com/html2canvas/0.5.0-beta4/html2canvas.min.js
偶发性请求大量第三方 url ,抓包发现
后面的代码不是每次请求都带着,https 协议应该可以排除劫持
后续引入的代码
 |
1
ysc3839 2024-02-20 17:57:55 +08:00 via Android  3
https://www.cnblogs.com/ADSZ/p/17465009.html
bootcss 至少在去年 6 月份就被人发现挂马了,那么久都不解决,基本可以认定是网站所有者故意挂马 |
 |
2
baiduyixia 2024-02-20 18:00:14 +08:00
为什么还要用它呢?
|
 |
3
imydou OP @baiduyixia 已经不用了,我不是很确定是他有问题(不太自信),发出来让大伙研究下,如果真实就广而告之了
|
|
4
ysc3839 2024-02-20 18:07:18 +08:00 via Android 3
@ysc3839 有的人可能会说 bootcdn 和 bootcss 不是同一家,我个人认为是同一家,因为访问 bootcdn.net 会跳转到 www.bootcdn.cn ,而这个页面底部写着“BootCDN 联合 Bootstrap 中文网”。虽然备案号不同,但考虑到两者命名类似且都有挂马的情况,很可能背后是同一个控制者。
|
 |
5
filtrate 2024-02-20 18:20:36 +08:00 2
豫 B2-20070002-14 bootcdn.cn
豫 B2-20070002-15 bootcdn.net 豫 B2-20070002-16 bootcss.com 备案类型 企业 备案主体 郑州紫田网络科技有限公司 |
 |
6
yumusb 2024-02-20 18:25:12 +08:00
|
|
7
ysc3839 2024-02-20 18:27:55 +08:00 via Android 2
|
 |
8
Shiroka 2024-02-20 18:28:22 +08:00 via iPhone
日经贴,bootcdn 已经被不少 v 友黑名单了
try https://mirrors.sustech.edu.cn/cdnjs/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js or https://s4.zstatic.net/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js 能加 integrity 最好 |
 |
9
cat 2024-02-20 18:32:12 +08:00
紫田啊…… 那就没啥好说了
|
|
10
Shiroka 2024-02-20 18:33:43 +08:00 via iPhone 1
@ysc3839 原先是王赛个人主体备案,后来卖给了紫田,据说是景安的子公司,但是天眼查倒是看不出来什么关联。值得注意的是 51la 也是紫田的,这家统计挂马投毒可是臭名昭著
|
 |
11
bjfane PRO 不知道历史,早些年还挺有好感的,这回彻底还 cdnjs 了
|
 |
13
muzuiget 2024-02-21 00:11:14 +08:00
用 Subresource Integrity 保平安,把文件 hash 值设置到 `integrity` 属性里。
|
 |
14
mytsing520 PRO 这家上游是 CDNJS ,挂在 CloudFlare ,国内 CF 边缘节点 IP 被劫持的事情不少
|
 |
15
ldapadmin 2024-02-21 15:23:17 +08:00
一直存在投毒的情况,不是这会儿才发生的了
|
 |
16
o9cS1g732XRD9dy7 2024-02-21 19:01:31 +08:00
体量大了之后就想开始弄钱了 宰杀的是我们开发者 普通人的信任 透支了也就黑得不要不要的了
|
 |
17
NewYear 2024-02-23 11:45:13 +08:00
bootcss 不是一次两次出问题了,还在用只能说是勇士了。
|
Select Language