《反入侵的艺术》之银行是否绝对可靠
发表于 16:04|
来源《程序员》|
作者Kevin D. Mitnick，William L. Simon
摘要：本书作者凯文·米特尼克曾是全球头号电脑黑客、历史上最令FBI头痛的计算机顽徒，现今他是全球广受欢迎的信息安全专家，他将所采访的多个黑客的入侵公司、政府和组织的故事记录下来，并进行专业分析，与读者分享。
虽然你努力使自己的计算机系统完善而且安全可靠，但总有更聪明、更富创造力的攻击者能找出其中的破绽。& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & ——Juhan
尽管以前所有机构都没能确保他们的安全保障能将黑客拒之门外，但我们还是愿意相信我们存入这些机构的资金是安全的，没有人能够非法获取我们的财务信息，更没有人能够盗取我们的银行账户，然后发出指令将我们的钱据为己有。这些金融方面的安全问题简直是噩梦中的噩梦。
然而坏消息不断传来：许多银行和金融机构的安全系统并没有像系统设计者想象中的那样安全。下面的故事很清楚地说明了这一点。远距离的银行黑客
Gabriel住在加拿大的一个小城镇里，他的母语是法语。尽管他说自己是一个对系统进行安全审查的白帽黑客，他还是坦言自己“在无聊到接近绝望边缘的时候”，或者当他发现某些“安全系统是如此粗劣，以至于我想要教训教训那些软件制造者”的站点的时候，“我当过一两次黑客”。
但是，一个住在加拿大农村的家伙是如何攻击远在美国南部某州的一个银行的呢？首先，他发现一个Web站点上显示有“哪些IP地址范围(网络地址块)分配给了哪些特定的组织”(尽管他没有详细说明这个站点，但相关信息可从获取)。然后，他开始搜索含有“政府、银行或其他任何这样的词汇”的列表。就在这时，突然出现了一个他可以搜寻资料的IP范围(例如69.75.68.1至69.75.68.254)。
在Gabriel无意发现的表项中，有一个是属于某个特定银行的IP地址。这个银行位于美国南部某个州的中心地带。这个发现使得他开始十分投入地猛烈攻击该银行系统。黑客是学出来的，不是天生的
Gabriel有一台配置128MB硬盘的386计算机。一开始他用自己的机器玩Doom之类的游戏。15岁的时候(你可能已经从前面的章节中得知，这个年龄开始有些晚了。这就像梦想进入NBA，但从高中才开始打篮球)，Gabriel已经开始用计算机作黑客了。计算机也从玩具变成了他的朋友。随后Gabriel发现自己的计算机速度很慢，无法完成他想做的事情，于是他花了很多钱去当地的网吧玩网络游戏。
计算机里的世界充满了诱惑。能从学校激烈的竞争中脱离出来，再到这个虚幻的世界里放松一下，是多么惬意的事情啊！在学校，因为Gabriel与众不同，他每天都得忍受同伴们的嘲笑。虽然他是新搬进街区的孩子，在班上他的年纪也最小，这也无济于事。在他家搬来之前，他是在另一个省念书的。没有人会说，做一个遭人嘲弄的小丑没什么大不了的。
他的父母都是政府职员。他们并不了解为什么自己的儿子会如此痴迷计算机。然而对于那些在科学技术日新月异的年代里成长起来的新一代，这似乎在当时是一个普遍存在的问题。Gabriel回忆说：“他们从没想过要给我买一台计算机。”他们只想他能“出门做点其他事情”。他的爸爸和妈妈非常担心孩子，还带他去看心理医生，希望他变得正常一点。但在那段时间，无论发生了什么，这个身材瘦长的男孩子也从未放弃他对计算机的热爱。
Gabriel在本地一所贸易学院学习Cisco课程。他自学到的知识常常比老师知道的还多。老师有时候还向他请教问题。这位现年21岁的加拿大人似乎拥有一种独立发现某些漏洞的黑客天赋。这种能力标志着这个黑客与那些“照本宣科者(指使用别人发现的方法或者使用别人开发的程序进行攻击的菜鸟级黑客)”完全不同。他们毫无自主创新能力，只知道从Web下载东西。
他最喜欢的一个程序叫Spy Lantern Keylogger。这种程序可在人们工作时，监控他们的计算机，可用来秘密拦截在目标计算机系统上进行的每一次击键，而且这些在目标计算机上是完全看不见的。
另外，他也利用了一种应用程序Citrix MetaFrame(一种企业所使用的按需访问的套件)的“影子”功能。这种程序让系统管理员可以监控并帮助公司雇员。利用这种“影子”功能，系统管理员可以悄悄地监控使用者，观察他(或她)的计算机屏幕上的一切，比如使用者正在做什么，打什么字，甚至还能够获得计算机的控制权。若精通此道的黑客能够在一台计算机上运行Citrix，就有可能做到相同的事情：获得计算机的控制权。当然，这需要更加谨慎，否则一不小心，黑客的行为将会被发现，因为坐在计算机前的每一个人都能看到攻击者采取行动所产生的结果(光标在移动，应用程序被打开等)。但是黑客仍然会抓住每个机会来找乐子。
我看人们给自己的妻子或者其他人写Email，甚至还可以移动他们的显示屏上的光标。这真的很有趣。有一次我入侵了一个家伙的计算机，开始移动他的光标。当他打开了一个记事本文件时，我就在上面输入：“Hey”。
如果黑客想要获得他人计算机的控制权，自然会挑一个不太可能会有人在计算机附近的时间段。“我通常在午夜之后进行”，Gabriel解释道，“要确保没有人在计算机跟前。要不然，我就会先检查他们的屏幕。如果屏幕保护程序正在运行，那就意味着：一般情况下，计算机前没人。”
但是有一次他判断失误：用户正在使用计算机。“我知道你在监视我！”这句话在Gabriel的屏幕上一闪而过。“我赶紧注销了。”另一次，他隐藏的一些文件被发现了。“他们把这些文件删除了，还留给我一条信息——‘我们将以法律的名义起诉你！’”
Gabriel在Internet上四处游荡，搜集有关Dixie银行IP地址的详细资料，他循着蛛丝马迹，发现这个被他无意发现的并不是那种镇上的小银行，而是一个拥有大量国内和国际贸易来往的大银行。更有趣的是，他还发现该银行的服务器上正在运行应用程序Citrix
MetaFrame。这种服务器软件允许用户远程访问自己的工作站。以往总结的黑客经验让Gabriel和他的朋友想到了一个很好的点子：
我和我的朋友发现运行Citrix服务的系统大多数都没有很好的口令，而终端用户不必输入任何口令。
Gabriel开始行动了。他使用的是端口扫描器。这是一种黑客工具(或称为审计工具，这取决于使用者的使用意图)，通过扫描其他网络计算机来确定开放的端口。他专门搜索打开了端口1494的系统，因为这个端口用于远程访问Citrix的终端服务。所以任何端口1494是打开的系统，他都可能成功“拥有”。
每当他找到一个，他就会在这台计算机上的所有文件内搜索“password”这个单词。这就好比在淘金。大多时候都是一无所获，但有时可能突然发现金砖。在这里，金砖可能是设置在文件中的某种提示，比如说这样一句话：“administrator
password for mail2 is‘happyday’。”
最后，他终于找到了银行防火墙的口令。他试着连上一个路由器，因为他知道有些普通的路由器会提供一个默认的口令：“admin”或“administrator”。但是很多人，不光是不了解计算机的普通家庭用户，即便是那些IT业的专业人员常常在部署一个新单元的时候也从未想过要修改默认的口令。Gabriel真找到了一个使用默认口令的路由器。
一获得访问权限，他就添加了一条防火墙规则，即允许传入的指向1723端口的连接——这个端口是用来进行Microsoft的Virtual
Private Network (VPN)服务的，它的设计允许授权用户安全地连接到公司网络。当他成功地认证VPN服务之后，他的计算机被分配了一个银行内部网络的IP地址。对他来说，最幸运的是这个网络是“扁平状”的，也就是说所有系统都是通过单个网段访问的，所以他只要入侵一台计算机，就可以访问同一网络中的其他所有计算机系统。
Gabriel说，如此轻易地入侵银行的计算机系统真有些“难以置信”。银行曾经聘请过安全顾问小组。小组离开之前，提交过一份报告。Gabriel发现了这份存储在服务器内的秘密报告。报告的内容包括了所有安全顾问小组所发现的系统漏洞——这可是一份求之不得的珍贵蓝图啊，有了它，就知道如何利用网络其他部分了。
银行那时使用IBM AS/400作为服务器。这个机型Gabriel并不熟悉。但他发现Windows的域服务器中存有银行系统所使用的一份完整的应用程序操作手则。他把它下载了下来。随后输入了“administrator”这个IBM默认口令，并成功进入了系统。
我觉得在那里工作的99%的人都用“password123”作为他们的口令。他们也没有使用在后台运行的杀毒程序。他们可能一周左右运行一次杀毒程序。
Gabriel安装完Spy Lantern Keylogger，松了口气。在这类程序中，Spy Lantern Keylogger是他的最爱，主要是因为这个程序有一个特有的功能，它能够同步记录Citrix
服务器的所有登录信息。安装完这个程序，Gabriel就开始静候系统管理员来登录，然后“截获”他的口令。
Gabriel使用正确口令，意外地中了头彩——一份关于如何在AS/400上使用关键应用程序的完整联机培训手册。他现在能够做到一名银行出纳员所能做到的一切活动——电子资金划拨，查看和更改用户的账户信息，监督全国范围内的ATM的工作记录，检查银行贷款和转账，访问信用调查中心Equifax进行信贷检查，甚至查看后台检验的法律文件。他还发现，他能够通过这个银行的站点访问美国Department
of Motor Vehicles的计算机数据库。
随后他想从主域控制器(PDC，primary domain controller)中获取口令的散列。主域控制器认证所有对域发出的登录请求。他选择PwDumps3程序来完成这个任务，因为这个程序可从系统注册表受保护的部分提取所有口令的散列。他获取了管理员的本地访问权限，然后添加执行PwDumps3的脚本作为启动文件夹的快捷键，这样可以把它伪装成无害的程序。
Gabriel静静地等着，等着有域管理员登录目标机。这个程序运行起来就像是一个地雷，会被一个特定的事件突然引爆。这时，有个系统管理员登录了。在管理员登录时，口令的散列已经被悄然无声地提取到一个文件内。PwDumps3实用程序是在管理员打开启动文件夹时运行的。“有时(等待一个域管理员登录)需要些时日”，他说，“不过这还是很值得去等的。”
一旦有个毫无疑心的域管理员登录，口令的散列就会被悄悄地提取到一个隐藏的文件内。Gabriel回到了获取口令的散列的“犯罪现场”。他在能够访问的计算机中找到了一个功能最强的机器，然后在这个机器上运行了口令攻击程序。
使用这个系统后，像“password”这样简单的口令只需要不到一秒的时间就能解密。Windows口令似乎特别简单，但如果是由特殊符号组成的复杂口令可能会花多点时间。“我曾经遇到一个口令，花了我整整一个月的时间才解密成功”，Gabriel回想过去，懊恼地说。但是这个银行管理员的口令仅仅由4个小写字母组成，所以很快口令就被解开了，快得你都来不及读完这段话。你对瑞士银行账户感兴趣吗
Gabriel发现，剩余的有些事情似乎就是些无足轻重的细枝末节了。
他发现了一个进入银行操作系统最敏感部位的方法——生成电汇的程序。他还发现了启动这个程序的菜单，以及部分被选出来的授权雇员所使用的现行在线表单。这些雇员有权处理这样的事务——从一个顾客的账户里提取资金，再将资金以电汇方式汇至另外的金融机构，尽管这个机构可能在世界的另一端(比如在瑞士)。
但是光有这么一个空表单没有一点用处，除非知道如何去正确地填充。到最后，这也不是什么问题了。在他早先发现的那个操作手册里，有一个章节特别有趣，因为他不用读太多就能够找到他想要的东西。
进入/更新电汇菜单：Wire Transfers(WIRES)选项：Enter/Update Wire Transfers这个选项是用来进入非重复性的电汇的，也可以选择进入可重复性的电汇并汇出资金。非重复性的电汇是为那些仅仅偶尔电汇的顾客以及那些想要办理新电汇账户的顾客设置的。通过这个选项，可重复性电汇也同样能够在上传之后获得。一旦这个选项被选中，将出现以下画面：
Wire TransfersWire Transfers 11:35:08OutgoingType options, press Enter.2=Change 4=Delete 5=Display
Position to…Opt From account To
beneficiary AmountF3=Exit F6=Add
F9=Incoming F12=Previous
如果这个选项是首次运行，列表中将不会有任何电汇记录。如果要添加记录，按F6=Add键即可。
有整整一章内容详细记载了一步步准确的过程，指出该如何从某个特定的银行电子汇出资金，以及如何将资金转移到另一个金融机构中其他人的账户中。现在Gabriel知道所有关于该如何电汇的必要知识。他拥有了打开城堡的钥匙。结局
尽管Gabriel能够如此轻易地访问银行系统，并且可以支配如此之大的非法权力，但令人赞赏的是，他并没有从这座金库中盗取。他没兴趣去窃取这些钱财，或是暗中破坏银行的信息，尽管他的确曾想过要给自己的几位好友提高他们的客户信用评级。作为一所本地学院的安全程序专业的学生，Gabriel很自然地评估了银行保护措施的脆弱性。
在他们的服务器上，我发现了许多关于物理安全的文档，但是没有任何内容涉及关于该如何防御黑客攻击的措施。虽然我找到的一些资料显示，他们每年都聘请安全顾问来检查服务器，但是对于银行来说，这是不够的。尽管他们在物理安全方面做得很棒，但是在计算机安全方面就做得远远不够了。启示
爱沙尼亚的银行是很容易被攻破的目标。Juhan在他查看银行的网页源代码时发现了它的缺陷。这些代码使用的是包含表单模板文件名的隐含表单元素，用CGI脚本加载并通过他们的Web浏览器展示给用户。他更改了隐藏变量使其指向服务器口令文件。瞧，在他的浏览器上马上出现了这个口令文件。令人惊喜的是，这个文件并不是隐藏的，他获得了所有加密口令。随后，他破译了这些口令。
而Dixie银行黑客为我们提供了另一个需要深度防御的实例。在这个事件中，银行的网络是扁平状的。也就是说，除Citrix服务器外，网络没有强有力的保护措施。一旦网络中的某个系统被攻破，攻击者就能连接到网络中的其他所有系统。其实，只要有了深度防御模型，就能有效阻止Gabriel获得AS/400的访问权。
银行的信息安全人员麻痹大意，错误地认为，只要运行外部审计就可以高枕无忧了。这种感觉可能已经让他们在进行整体的安全措施时过度自信。要提高计算机对黑客攻击的防御能力，进行安全评估或审计是一个非常重要的环节，而更重要的是要合理管理网络以及网络内的所有系统。对策
在线银行站点应该要求所有的Web应用程序开发商一定要遵循基本的安全程序的惯例，或者要求对所有置入这个程序产品的代码进行审计。最好是限制用户输入并传送到服务器端的脚本的数量。使用硬编码的文件名和常量能提升应用程序的安全系数，而这绝不是雄辩。
这个案例暴露出Citrix服务器网络监控程序松弛，口令安全保障拙劣。这是银行所犯的最大错误。本来很有可能阻止Gabriel进入他们的网络，避免被安装击键记录程序、为其他授权用户建立影子，以及植入特洛伊木马程序。这个黑客编写了一点脚本，并把脚本放入管理员的启动文件夹内。这样，当管理员登录的时候，PwDump3程序就开始悄无声息地运行。当然，他已经拥有管理员权限。这个黑客静静地等待一个域管理员登录，这样他就能获取他的管理员权限，并自动从主域控制器提取口令的散列。隐藏的脚本通常被称为“Trojan(特洛伊木马)”或“trapdoor(陷阱门)”。
以下列出了部分对策：
检查所有账户口令以及最后一次使用系统服务账户——比如“TsInternet- User”——的时间，不将此账户分配给个人。检查所有未经授权的管理员权限，未经授权的群组权限，以及最后一次登录的时间。这些定期检查能够确认安全事件。寻找那些在异常时间段内设置的口令，因为黑客很可能并不知道在更改账户口令的时候，已经留下了一条审计跟踪记录。只允许在营业时间内进行交互式登录。对所有通过无线、拨号、Internet或企业外部网络从外部访问银行系统的登录和注销进行记录以便审计。配置SpyCop(可从下载)之类的软件，用来侦查未经授权的击键记录程序。在安装安全程序软件升级包时要保持警惕。在有些环境中，自动下载最新的软件升级包可能是恰当的。Microsoft总是积极鼓励用户将他们的计算机系统设置为自动更新。检查那些通过远程控制软件——例如WinVNC、TightVNC、Damware等——来进行外部访问的系统。当他们拥有合法使用权时，这些软件程序就能使攻击者监视并控制登录进入系统控制台的会话期。仔细审计使用Windows Terminal Services或Citrix MetaFrame的每一次登录。大部分攻击者会优先选用这些服务程序，而不选择远程控制软件，以减少被发现的几率。小结
本章所记录的攻击案例是微不足道的，都是以利用公司拙劣的口令安全以及脆弱的CGI脚本为基础的。然而很多人——甚至那些在计算机安全方面知识渊博的人——趋向于认为黑客的攻击就像是电影《十一罗汉》中的那种战略性攻击，但实际上大部分的黑客攻击并非原创，也并不巧妙。相反，他们能够获得成功，是因为大部分企业的网络并没有得到充分的保护。
而且，那些负责开发系统并且将系统安装到产品中的人员，也会出现设备配置错误或疏忽。这些都为那些时刻想要攻破系统大门的成千上万的黑客创造了良机。
如果说本章中提到的这两个金融机构告诉了全世界大多数银行现在都是如何保护客户的信息和资金的，那么我们可能决定像旧时一样把自己的现金藏在床下的鞋盒子里，而不是存入银行。本文摘自《反入侵的艺术——黑客入侵背后的真实故事》第7章：银行是否绝对可靠，清华大学出版社2014年8月出版。作者凯文·米特尼克的一生颇具传奇色彩，曾是全球头号电脑黑客、历史上最令FBI头痛的计算机顽徒，其传奇黑客生涯是无人可比的；那时的他免费乘车、盗打电话，并驾轻就熟地出没于世界上最大几家公司的计算机系统。他自身的经历令人着迷，引人遐想。现今他是全球广受欢迎的信息安全专家，他将所采访的多个黑客的入侵公司、政府和组织的故事记录下来，并进行专业分析，与读者分享。书中涉及的人员包括在校学生、监狱囚犯、公司安全官员乃至政府执法人员等，事实上，其中多个故事的主角都将凯文·米特尼克奉为宗师。
推荐阅读相关主题：
为了更好帮助企业深入了解国内外最新大数据技术，掌握更多行业大数据实践经验，进一步推进大数据技术创新、行业应用和人才培养，-12日，由中国计算机学会（CCF）主办，CCF大数据专家委员会承办，中国科学院计算技术研究所、北京中科天玑科技有限公司及CSDN共同协办的2015中国大数据技术大会（Big Data Technology Conference 2015，BDTC 2015）将在北京新云南皇冠假日酒店隆重举办。
相关热门文章是否有能删除银行交易记录的软件_百度知道
是否有能删除银行交易记录的软件
我有更好的答案
根据人民银行规定，各发卡银行都需将客户的消费及还款记录定期上传，不可篡改。如之前有使用招行信用卡，我行不会对您的使用记录做出任何不良的评价，只是如实的反馈您的历史使用记录，不加任何主观判断。《征信业管理条例》规定：征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除（详情可见）。您在办理新的业务时，相关部门一般会优先考虑近期的消费、还款记录。
主营：金融
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。404 Not Found
404 Not Found您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
银行软件安全测试技术建议方案.doc 40页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
·······
1 金融业信息安全的现状 5
2 银行业源代码检测的相关标准和要求 7
2.1 《信息安全等级保护基本要求》 7
2.2 信息安全管理体系要求（IDT ISO/IEC2） 7
2.3 支付卡行业数据库安全标准（PCI DSS） 8
2.4 网上银行系统信息安全通用规范 8
2.5 电子银行业务管理办法及电子银行安全评估指引 8
3 中国XXXX银行的软件安全现状 9
4 软件源代码安全扫描、审计和管理方案 10
4.1 解决方案组成 11
4.2 Fortify SCA源代码安全测试方法 12
4.3 输出结果 14
5 实施建议 15
5.1 方案概要 16
5.2 方案目的 16
5.3 使用模式 16
5.4 产品配置建议 17
Fortify Software 应用软件安全方案给XXXX银行带来的价值 17
Fortify案例及业内位置 18
7.1 公司产品背景 18
7.2 部分中国客户名单 19
7.3 Gartner权威机构最新排名 19
8 附件一：OWASP应用安全Top 10安全漏洞及控制措施示例 20
8.1 应用开发弱点的原始清单 20
8.2 跨站脚本攻击(Cross Site Scripting - XSS) 22
8.2.1 描述 22
8.2.2 控制措施 23
8.3 注入缺陷 23
8.3.1 描述 23
SQL注入攻击 24
8.3.2 控制措施 25
8.4 恶意文件执行 27
8.4.1 描述 27
8.4.2 控制措施 29
8.5 直接对象引用 29
8.5.1 描述 29
8.5.2 控制措施 30
8.6 跨站请求伪造（CSRF） 30
8.6.1 描述 30
CSRF攻击 32
8.6.2 控制措施 33
8.7 错误处理不当 33
8.7.1 描述 33
8.7.2 控制措施 34
8.8 失效的账户和线程管理类的威胁 35
8.8.1 描述 35
8.8.2 控制措施 35
密码存储 35
保护传输凭证 36
保护线程IDs 36
保护帐号列表 37
管理程序组件的信任关系 37
8.9 加密存储不安全 37
8.9.1 描述 37
8.9.2 确认存在加密存储不安全脆弱性 38
8.9.3 控制措施 38
8.10 通信不安全 38
8.10.1 描述 38
8.10.2 控制措施 39
8.11 无法限制URL访问 39
8.11.1 描述 39
8.11.2 控制措施 40
金融业信息安全的现状
从光大证券“乌龙指”到财付通多起账户被盗事件，互联网信息系统安全成为社会关注的重点。作为我国信息化前沿的核心行业，银行业的信息安全形势和自主可控体系一直是行业建设的重点。保障金融信息安全也更符合十八届三中全会《决定》“加强金融基础设施建设，保障金融市场安全高效运行和整体稳定”要求。
建立银行业自主可控信息技术创新战略联盟机制，推动落实信息科技外包风险联合监督平台和外包合作组织机制，并进一步加强统筹和引导，着力解决一些关乎全局、影响长远的问题。
“要牢牢守住信息安全底线。”中国银监会副主席郭利根在会议上强调，银行业信息科技工作要牢牢守住信息安全底线，切实开展科技顶层设计，深入落实“创新驱动”发展战略，深化银行科技工作体制机制改革,全面激发自主创新活力，以科技创新推动银行业发展转型，以科技引领提升银行业核心竞争力，不断增强风险抵御能力。
Gartner Group 和NIST的分析报告。
“Over 75% of security vulnerabilities exist at the application layer, not the network layer. It’s not just operating systems or web browsers, but all types of applications - particularly applications that automate key business processes.”
----Gartner Group 2008
对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法，这种方法仍然带有明显的黑盒测试本身的不足，需要大量的测试用例来进行覆盖，且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术，使用源代码扫描产品对软件进行代码扫描，一方面可以找出潜在的风险，从内对软件进行检测，提高代码的安全性，另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合，可以使得软件的安全性得到很大程
正在加载中，请稍后...閾惰?娴佹按璐﹀崟鍒朵綔鎵撳嵃杞?欢
娉ㄥ唽甯愬彿锛}