有个项目引用了 cdn.bootcss.com 的一个 js 库
https://cdn.bootcss.com/html2canvas/0.5.0-beta4/html2canvas.min.js
偶发性请求大量第三方 url ,抓包发现
后面的代码不是每次请求都带着,https 协议应该可以排除劫持
后续引入的代码
![]() |
1
ysc3839 2024-02-20 17:57:55 +08:00 via Android ![]() https://www.cnblogs.com/ADSZ/p/17465009.html
bootcss 至少在去年 6 月份就被人发现挂马了,那么久都不解决,基本可以认定是网站所有者故意挂马 |
![]() |
2
baiduyixia 2024-02-20 18:00:14 +08:00
为什么还要用它呢?
|
![]() |
3
imydou OP @baiduyixia 已经不用了,我不是很确定是他有问题(不太自信),发出来让大伙研究下,如果真实就广而告之了
|
![]() |
4
ysc3839 2024-02-20 18:07:18 +08:00 via Android ![]() @ysc3839 有的人可能会说 bootcdn 和 bootcss 不是同一家,我个人认为是同一家,因为访问 bootcdn.net 会跳转到 www.bootcdn.cn ,而这个页面底部写着“BootCDN 联合 Bootstrap 中文网”。虽然备案号不同,但考虑到两者命名类似且都有挂马的情况,很可能背后是同一个控制者。
|
![]() |
5
jinqzzz 2024-02-20 18:20:36 +08:00 ![]() 豫 B2-20070002-14 bootcdn.cn
豫 B2-20070002-15 bootcdn.net 豫 B2-20070002-16 bootcss.com 备案类型 企业 备案主体 郑州紫田网络科技有限公司 |
6
yumusb 2024-02-20 18:25:12 +08:00
|
![]() |
7
ysc3839 2024-02-20 18:27:55 +08:00 via Android ![]() |
![]() |
8
Shiroka 2024-02-20 18:28:22 +08:00 via iPhone
日经贴,bootcdn 已经被不少 v 友黑名单了
try https://mirrors.sustech.edu.cn/cdnjs/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js or https://s4.zstatic.net/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js 能加 integrity 最好 |
![]() |
9
cat 2024-02-20 18:32:12 +08:00
紫田啊…… 那就没啥好说了
|
![]() |
10
Shiroka 2024-02-20 18:33:43 +08:00 via iPhone ![]() @ysc3839 原先是王赛个人主体备案,后来卖给了紫田,据说是景安的子公司,但是天眼查倒是看不出来什么关联。值得注意的是 51la 也是紫田的,这家统计挂马投毒可是臭名昭著
|
11
bjfane 2024-02-20 19:13:24 +08:00
不知道历史,早些年还挺有好感的,这回彻底还 cdnjs 了
|
![]() |
13
muzuiget 2024-02-21 00:11:14 +08:00
用 Subresource Integrity 保平安,把文件 hash 值设置到 `integrity` 属性里。
|
![]() |
14
mytsing520 2024-02-21 13:52:06 +08:00
这家上游是 CDNJS ,挂在 CloudFlare ,国内 CF 边缘节点 IP 被劫持的事情不少
|
15
ldapadmin 2024-02-21 15:23:17 +08:00
一直存在投毒的情况,不是这会儿才发生的了
|
![]() |
16
GOliberation 2024-02-21 19:01:31 +08:00
体量大了之后就想开始弄钱了 宰杀的是我们开发者 普通人的信任 透支了也就黑得不要不要的了
|
![]() |
17
NewYear 364 天前
bootcss 不是一次两次出问题了,还在用只能说是勇士了。
|