有个项目引用了 cdn.bootcss.com 的一个 js 库
https://cdn.bootcss.com/html2canvas/0.5.0-beta4/html2canvas.min.js
偶发性请求大量第三方 url ,抓包发现
后面的代码不是每次请求都带着,https 协议应该可以排除劫持
后续引入的代码
1
ysc3839 285 天前 via Android 3
https://www.cnblogs.com/ADSZ/p/17465009.html
bootcss 至少在去年 6 月份就被人发现挂马了,那么久都不解决,基本可以认定是网站所有者故意挂马 |
2
baiduyixia 285 天前
为什么还要用它呢?
|
3
imydou OP @baiduyixia 已经不用了,我不是很确定是他有问题(不太自信),发出来让大伙研究下,如果真实就广而告之了
|
4
ysc3839 285 天前 via Android 3
@ysc3839 有的人可能会说 bootcdn 和 bootcss 不是同一家,我个人认为是同一家,因为访问 bootcdn.net 会跳转到 www.bootcdn.cn ,而这个页面底部写着“BootCDN 联合 Bootstrap 中文网”。虽然备案号不同,但考虑到两者命名类似且都有挂马的情况,很可能背后是同一个控制者。
|
5
jinqzzz 285 天前 2
豫 B2-20070002-14 bootcdn.cn
豫 B2-20070002-15 bootcdn.net 豫 B2-20070002-16 bootcss.com 备案类型 企业 备案主体 郑州紫田网络科技有限公司 |
7
ysc3839 285 天前 via Android 2
|
8
Shiroka 285 天前 via iPhone
日经贴,bootcdn 已经被不少 v 友黑名单了
try https://mirrors.sustech.edu.cn/cdnjs/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js or https://s4.zstatic.net/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js 能加 integrity 最好 |
9
cat 285 天前
紫田啊…… 那就没啥好说了
|
10
Shiroka 285 天前 via iPhone 1
@ysc3839 原先是王赛个人主体备案,后来卖给了紫田,据说是景安的子公司,但是天眼查倒是看不出来什么关联。值得注意的是 51la 也是紫田的,这家统计挂马投毒可是臭名昭著
|
11
bjfane 285 天前
不知道历史,早些年还挺有好感的,这回彻底还 cdnjs 了
|
13
muzuiget 285 天前
用 Subresource Integrity 保平安,把文件 hash 值设置到 `integrity` 属性里。
|
14
mytsing520 284 天前
这家上游是 CDNJS ,挂在 CloudFlare ,国内 CF 边缘节点 IP 被劫持的事情不少
|
15
ldapadmin 284 天前
一直存在投毒的情况,不是这会儿才发生的了
|
16
GOliberation 284 天前
体量大了之后就想开始弄钱了 宰杀的是我们开发者 普通人的信任 透支了也就黑得不要不要的了
|
17
NewYear 282 天前
bootcss 不是一次两次出问题了,还在用只能说是勇士了。
|