OWASP Open Web Application Security Project

官網(wǎng)：https://www.owasp.org/index.p...
下載：https://www.owasp.org/index.p...:OWASP_Top_Ten_Project#tab=Main

OWASP（開放式Web應用程序安全項目）是一個501c3非盈利的全球性安全組織，致力于應用軟件的安全研究。使命是使應用軟件更加安全，使企業(yè)和組織能夠?qū)冒踩L險做出更清晰的決策。

1. 注入 Injection

將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時，會產(chǎn)生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當授權(quán)的情況下執(zhí)行非預期命令或訪問數(shù)據(jù)。

產(chǎn)生原因：

• 用戶提供的數(shù)據(jù)沒有經(jīng)過應用程序的驗證、過濾或凈化。
• 動態(tài)查詢語句或非參數(shù)化的調(diào)用，在沒有上下文感知轉(zhuǎn)義的情況下，被用于解釋器。
• 在ORM搜索參數(shù)中使用了惡意數(shù)據(jù)，這樣搜索就獲得包含敏感或未授權(quán)的數(shù)據(jù)。
• 惡意數(shù)據(jù)直接被使用或連接，諸如SQL語句或命令在動態(tài)查詢語句、命令或存儲過程中包含結(jié)構(gòu)和惡意數(shù)據(jù)。

常見的注入：SQL、OS命令、ORM、LDAP和表達式語言（EL）或OGNL注入；
其他：所有參數(shù)、字段、頭、cookie、JSON和XML數(shù)據(jù)輸入

防御方法：

• 最佳選擇是使用安全的API接口，完全避免使用解釋器，或提供參數(shù)化界面的接口，或遷移到ORM或?qū)嶓w框架。
• 使用正確的或“白名單”的具有恰當規(guī)范化的輸入驗證方法同樣會有助于防止注入攻擊，但這不是一個完整的防御，因為許多應用程序在輸入中需要特殊字符，例如文本區(qū)域或移動應用程序的API。
• 對于任何剩余的動態(tài)查詢，可以使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符。OWASP的Java Encoder和類似的庫提供了這樣的轉(zhuǎn)義例程。
• 在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入時大量地泄露記錄。

2. 失效的身份認證 Broken Authentication

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其它開發(fā)缺陷來暫時性或永久性冒充其他用戶的身份。

產(chǎn)生原因：

• 允許憑證填充，這使得攻擊者獲得有效用戶名和密碼的列表。
• 允許暴力破解或其他自動攻擊。
• 允許默認的、弱的或眾所周知的密碼，例如“Password1”或“admin/admin”。
• 使用弱的或失效的驗證憑證，忘記密碼程序，例如“基于知識的答案”，這是不安全的。
• 使用明文、加密或弱散列密碼。
• 缺少或失效的多因素身份驗證。
• 暴露URL中的會話ID（例如URL重寫）。
• 在成功登錄后不會更新會話ID。
• 不正確地使會話ID失效。當用戶不活躍的時候，用戶會話或認證令牌（特別是單點登錄（SSO）令牌）沒有正確注銷或失效。

防御方法：

• 在可能的情況下，實現(xiàn)多因素身份驗證，以防止自動、憑證填充、暴力破解和被盜憑據(jù)再利用攻擊。
• 不要使用發(fā)送或部署默認的憑證，特別是管理員用戶。
• 執(zhí)行弱密碼檢查，例如測試新或變更的密碼，以糾正“排名前10000個弱密碼” 列表。
• 將密碼長度、復雜性和循環(huán)策略與NIST-800-63 B的指導方針的5.1.1章節(jié)-記住秘密，或其他現(xiàn)代的基于證據(jù)的密碼策略相一致。
• 確認注冊、憑據(jù)恢復和API路徑，通過對所有輸出結(jié)果使用相同的消息，用以抵御賬戶枚舉攻擊。
• 限制或逐漸延遲失敗的登錄嘗試。記錄所有失敗信息并在憑據(jù)填充、暴力破解或其他攻擊被檢測時提醒管理員。
• 使用服務(wù)器端安全的內(nèi)置會話管理器，在登錄后生成高度復雜的新隨機會話ID。會話ID不能在URL中，可以安全地存儲和當?shù)浅觥㈤e置、絕對超時后使其失效。

3. 敏感數(shù)據(jù)泄露 Sensitive Data Exposure

許多Web應用程序和API都無法正確保護敏感數(shù)據(jù)，例如：財務(wù)數(shù)據(jù)、醫(yī)療數(shù)據(jù)和PII數(shù)據(jù)。攻擊者可以通過竊取或修改未加密的數(shù)據(jù)來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數(shù)據(jù)容易受到破壞，因此，我們需要對敏感數(shù)據(jù)加密，這些數(shù)據(jù)包括：傳輸過程中的數(shù)據(jù)、存儲的數(shù)據(jù)以及瀏覽器的交互數(shù)據(jù)。

產(chǎn)生原因：

• 在數(shù)據(jù)傳輸過程中是否使用明文傳輸？這和傳輸協(xié)議相關(guān)，如：HTTP、SMTP和FTP。外部網(wǎng)絡(luò)流量非常危險。驗證所有的內(nèi)部通信，如：負載平衡器、Web服務(wù)器或后端系統(tǒng)之間的通信
• 當數(shù)據(jù)被長期存儲時，無論存儲在哪里，它們是否都被加密，包含備份數(shù)據(jù)？
• 無論默認條件還是源代碼中，是否還在使用任何舊的或脆弱的加密算法？
• 是否使用默認加密密鑰，生成或重復使用脆弱的加密密鑰，或者缺少恰當?shù)拿荑€管理或密鑰回轉(zhuǎn)？
• 是否強制加密敏感數(shù)據(jù)，例如：用戶代理（如：瀏覽器）指令和傳輸協(xié)議是否被加密？
• 用戶代理（如：應用程序、郵件客戶端）是否未驗證服務(wù)器端證書的有效性？

防御方法：

• 對系統(tǒng)處理、存儲或傳輸?shù)臄?shù)據(jù)分類，并根據(jù)分類進行訪問控制。
• 熟悉與敏感數(shù)據(jù)保護相關(guān)的法律和條例，并根據(jù)每項法規(guī)要求保護敏感數(shù)據(jù)。
• 對于沒必要存放的、重要的敏感數(shù)據(jù)，應當盡快清除，或者通過PCI DSS標記或攔截。未存儲的數(shù)據(jù)不能被竊取。
• 確保存儲的所有敏感數(shù)據(jù)被加密。
• 確保使用了最新的、強大的標準算法或密碼、參數(shù)、協(xié)議和密匙，并且密鑰管理到位。
• 確保傳輸過程中的數(shù)據(jù)被加密，如：使用TLS。確保數(shù)據(jù)加密被強制執(zhí)行，如：使用HTTP嚴格安全傳輸協(xié)議（HSTS ）。
• 禁止緩存對包含敏感數(shù)據(jù)的響應。
• 確保使用密碼專用算法存儲密碼，如：Argon2 、 scrypt 、bcrypt 或者PBKDF2 。將工作因素（延遲因素）設(shè)置在可接受范圍。
• 單獨驗證每個安全配置項的有效性。

4. XML外部實體 XML External Entities (XXE)

許多較早的或配置錯誤的XML處理器評估了XML文件中的外部實體引用。攻擊者可以利用外部實體竊取使用URI文件處理器的內(nèi)部文件和共享文件、監(jiān)聽內(nèi)部掃描端口、執(zhí)行遠程代碼和實施拒絕服務(wù)攻擊。

產(chǎn)生原因：

• 應用程序直接接受XML文件或者接受XML文件上傳，特別是來自不受信任源的文件，或者將不受信任的數(shù)據(jù)插入XML文件，并提交給XML處理器解析。
• 在應用程序或基于Web服務(wù)的SOAP中，所有XML處理器都啟用了文檔類型定義（DTDs）。因為禁用DTD進程的確切機制因處理器而不同。
• 如果為了實現(xiàn)安全性或單點登錄（SSO），您的應用程序使用SAML進行身份認證。而SAML使用XML進行身份確認，那么您的應用程序就容易受到XXE攻擊。
• 如果您的應用程序使用第1.2版之前的SOAP，并將XML實體傳遞到SOAP框架，那么它可能受到XXE攻擊。
• 存在XXE缺陷的應用程序更容易受到拒絕服務(wù)攻擊，包括：Billion Laughs 攻擊。

防御方法：

• 盡可能使用簡單的數(shù)據(jù)格式（如：JSON），避免對敏感數(shù)據(jù)進行序列化。
• 及時修復或更新應用程序或底層操作系統(tǒng)使用的所有XML處理器和庫。同時，通過依賴項檢測，將SOAP更新到1.2版本或更高版本。
• 參考《OWASP Cheat Sheet 'XXE Prevention'》，在應用程序的所有XML解析器中禁用XML外部實體和DTD進程。
• 在服務(wù)器端實施積極的（“白名單”）輸入驗證、過濾和清理，.以防止在XML文檔、標題或節(jié)點中出現(xiàn)惡意數(shù)據(jù).
• 驗證XML或XSL文件上傳功能是否使用XSD驗證或其他類似驗證方法來驗證上傳的XML文件。
• 盡管在許多集成環(huán)境中，手動代碼審查是大型、復雜應用程序的最佳選擇，但是SAST 工具可以檢測源代碼中的XXE漏洞。

5. 失效的訪問控制 Broken Access Control

未對通過身份驗證的用戶實施恰當?shù)脑L問控制。攻擊者可以利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問權(quán)限等。

產(chǎn)生原因：

• 通過修改 URL、內(nèi)部應用程序狀態(tài)或 HTML 頁面繞過訪問控制檢查，或簡單地使用自定義的 API 攻擊工具。
• 允許將主鍵更改為其他用戶的記錄，例如查看或編輯他人的帳戶。
• 特權(quán)提升。在不登錄的情況下假扮用戶，或以用戶身份登錄時充當管理員。
• 元數(shù)據(jù)操作，如重放或篡改 JWT 訪問控制令牌，或作以提升權(quán)限的cookie 或隱藏字段。
• CORS配置錯誤允許未授權(quán)的API訪問。
• 以未通過身份驗證的用戶身份強制瀏覽的通過身份驗證時才能看到的頁面、或作為標準用戶訪問具有相關(guān)權(quán)限的頁面、或API沒有對POST、PUT和DELETE強制執(zhí)行訪問控制。

防御方法：

• 除公有資源外，默認情況下拒絕訪問。
• 使用一次性的訪問控制機制，并在整個應用程序中不斷重用它們，包括最小化CORS使用。
• 建立訪問控制模型以強制執(zhí)行所有權(quán)記錄，而不是接受用戶創(chuàng)建、讀取、更新或刪除的任何記錄。
• 域訪問控制對每個應用程序都是唯一的，但業(yè)務(wù)限制要求應由域模型強制執(zhí)行。
• 禁用 Web服務(wù)器目錄列表，并確保文件元數(shù)據(jù)（如：git）不存在于 Web的根目錄中。
• 記錄失敗的訪問控制，并在適當時向管理員告警（如：重復故障）。
• 對API和控制器的訪問進行速率限制，以最大限度地降低自動化攻擊工具的危害。
• 當用戶注銷后，服務(wù)器上的JWT令牌應失效。

6. 安全配置錯誤 Security Misconfiguration

安全配置錯誤是最常見的安全問題，這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的 HTTP 標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有的操作系統(tǒng)、框架、庫和應用程序進行安全配置，而且必須及時修補和升級它們。

產(chǎn)生原因：

• 應用程序棧堆的任何部分都缺少適當?shù)陌踩庸?#xff0c;或者云服務(wù)的權(quán)限配置錯誤。
• 應用程序啟用或安裝了不必要的功能（例如：不必要的端口、服務(wù)、網(wǎng)頁、帳戶或權(quán)限）。
• 默認帳戶的密碼仍然可用且沒有更改。
• 錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。
• 對于更新的系統(tǒng)，禁用或不安全地配置最新的安全功能。
• 應用程序服務(wù)器、應用程序框架（如：Struts、Spring、ASP.NET）、庫文件、數(shù)據(jù)庫等沒有進行安全配置。
• 服務(wù)器不發(fā)送安全標頭或指令，或者未對服務(wù)器進行安全配置。
• 您的應用軟件已過期或易受攻擊（參見：使用含有已知漏洞的組件）。

防御方法：

• 一個可以快速且易于部署在另一個鎖定環(huán)境的可重復的加固過程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應該進行相同配置，并且，在每個環(huán)境中使用不同的密碼。這個過程應該是自動化的，以盡量減少安裝一個新安全環(huán)境的耗費。
• 搭建最小化平臺，該平臺不包含任何不必要的功能、組件、文檔和示例。移除或不安裝不適用的功能和框架。
• 檢查和修復安全配置項來適應最新的安全說明、更新和補丁，并將其作為更新管理過程的一部分，（參見A9：2017-使用含有已知漏洞的組件）。在檢查過程中，應特別注意云存儲權(quán)限（如：S3桶權(quán)限）。
• 一個能在組件和用戶間提供有效的分離和安全性的分段應用程序架構(gòu)，包括：分段、容器化和云安全組。
• 向客戶端發(fā)送安全指令，如：安全標頭。
• 在所有環(huán)境中能夠進行正確安全配置和設(shè)置的自動化過程。

7. 跨站腳本 Cross-Site Scripting (XSS)

當應用程序的新網(wǎng)頁中包含不受信任的、未經(jīng)恰當驗證或轉(zhuǎn)義的數(shù)據(jù)時，或者使用可以創(chuàng)建 HTML或JavaScript 的瀏覽器 API 更新現(xiàn)有的網(wǎng)頁時，就會出現(xiàn) XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本，并劫持用戶會話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c。

產(chǎn)生原因：

• 反射型 Reflected XSS：應用程序或API包括未經(jīng)驗證和未經(jīng)轉(zhuǎn)義的用戶輸入，作為HTML輸出的一部分。一個成功的攻擊可以讓攻擊者在受害者的瀏覽器中執(zhí)行任意的HTML和JavaScript。 通常，用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進行交互，例如惡意漏洞網(wǎng)站，廣告或類似內(nèi)容。
• 存儲型 Stored XSS：你的應用或者API將未凈化的用戶輸入存儲下來了，并在后期在其他用戶或者管理員的頁面展示出來。 存儲型XSS一般被認為是高危或嚴重的風險。
• DOM型 DOM XSS：會動態(tài)的將攻擊者可控的內(nèi)容加入頁面的JavaScript框架、單頁面程序或API存在這種類型的漏洞。理想的來說，你應該避免將攻擊者可控的數(shù)據(jù)發(fā)送給不安全的JavaScript API。

典型的XSS攻擊可導致盜取session、賬戶、繞過MFA、DIV替換、對用戶瀏覽器的攻擊（例如：惡意軟件下載、鍵盤記錄）以及其他用戶側(cè)的攻擊。

防御方法：

• 使用設(shè)計上就會自動編碼來解決XSS問題的框架，如：Ruby 3.0或 React JS。了解每個框架的XSS保護的局限性，并適當?shù)靥幚砦锤采w的用例。
• 為了避免反射式或存儲式的XSS漏洞，最好的辦法是根據(jù)HTML輸出的上下文（包括：主體、屬性、JavaScript、CSS或URL）對所有不可信的HTTP請求數(shù)據(jù)進行恰當?shù)霓D(zhuǎn)義 。更多關(guān)于數(shù)據(jù)轉(zhuǎn)義技術(shù)的信息見：《OWASP Cheat Sheet 'XSS Prevention'》。
• 在客戶端修改瀏覽器文檔時，為了避免DOM XSS攻擊，最好的選擇是實施上下文敏感數(shù)據(jù)編碼。如果這種情況不能避免，可以采用《OWASP Cheat Sheet 'DOM based XSS Prevention'》描述的類似上下文敏感的轉(zhuǎn)義技術(shù)應用于瀏覽器API。
• 使用 內(nèi)容安全策略（CSP）是對抗XSS的深度防御策略。如果不存在可以通過本地文件放置惡意代碼的其他漏洞（例如：路徑遍歷覆蓋和允許在網(wǎng)絡(luò)中傳輸?shù)囊资芄舻膸?#xff09;，則該策略是有效的。

8. 不安全的反序列化 Insecure Deserialization

不安全的反序列化會導致遠程代碼執(zhí)行。即使反序列化缺陷不會導致遠程代碼執(zhí)行，攻擊者也可以利用它們來執(zhí)行攻擊，包括：重播攻擊、注入攻擊和特權(quán)升級攻擊。

產(chǎn)生原因：

這可能導致兩種主要類型的攻擊：

• 如果應用中存在可以在反序列化過程中或者之后被改變行為的類，則攻擊者可以通過改變應用邏輯或者實現(xiàn)遠程代碼執(zhí)行攻擊。我們將其稱為對象和數(shù)據(jù)結(jié)構(gòu)攻擊。
• 典型的數(shù)據(jù)篡改攻擊，如訪問控制相關(guān)的攻擊，其中使用了現(xiàn)有的數(shù)據(jù)結(jié)構(gòu)，但內(nèi)容發(fā)生了變化。

在應用程序中，序列化可能被用于:

• 遠程和進程間通信（RPC / IPC）
• 連線協(xié)議、Web服務(wù)、消息代理
• 緩存/持久性
• 數(shù)據(jù)庫、緩存服務(wù)器、文件系統(tǒng)
• HTTP cookie、HTML表單參數(shù)、API身份驗證令牌

防御方法：
唯一安全的架構(gòu)模式是不接受來自不受信源的序列化對象，或使用只允許原始數(shù)據(jù)類型的序列化媒體。

如果上述不可能的話，考慮使用下述方法：

• 執(zhí)行完整性檢查，如：任何序列化對象的數(shù)字簽名，以防止惡意對象創(chuàng)建或數(shù)據(jù)篡改。
• 在創(chuàng)建對象之前強制執(zhí)行嚴格的類型約束，因為代碼通常被期望成一組可定義的類。繞過這種技術(shù)的方法已經(jīng)被證明，所以完全依賴于它是不可取的。
• 如果可能，隔離運行那些在低特權(quán)環(huán)境中反序列化的代碼。
• 記錄反序列化的例外情況和失敗信息，如：傳入的類型不是預期的類型，或者反序列處理引發(fā)的例外情況。
• 限制或監(jiān)視來自于容器或服務(wù)器傳入和傳出的反序列化網(wǎng)絡(luò)連接。
• 監(jiān)控反序列化，當用戶持續(xù)進行反序列化時，對用戶進行警告。

9. 使用含有已知漏洞的組件 Using Components with KnownVulnerabilities

組件（例如：庫、框架和其他軟件模塊）擁有和應用程序相同的權(quán)限。如果應用程序中含有已知漏洞的組件被攻擊者利用，可能會造成嚴重的數(shù)據(jù)丟失或服務(wù)器接管。同時，使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產(chǎn)生嚴重影響。

產(chǎn)生原因：

• 如果你不知道所有使用的組件版本信息（包括：服務(wù)端和客戶端）。這包括了直接使用的組件或其依賴的組件。
• 如果軟件易受攻擊，不再支持或者過時。這包括：OS、Web服務(wù)器、應用程序服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)（DBMS）、應用程序、API和所有的組件、運行環(huán)境和庫。
• 如果你不會定期做漏洞掃描和訂閱你使用組件的安全公告。
• 如果你不基于風險并及時修復或升級底層平臺、框架和依賴庫。很可能發(fā)生這種情況：根據(jù)變更控制，每月或每季度進行升級，這使得組織在這段時間內(nèi)會受到已修復但未修補的漏洞的威脅。
• 如果軟件工程師沒有對更新的、升級的或打過補丁的組件進行兼容性測試。
• 如果你沒有對組件進行安全配置（請參考：安全配置錯誤）。

防御方法：

• 移除不使用的依賴、不需要的功能、組件、文件和文檔。
• 利用如versions、DependencyCheck、retire.js等工具來持續(xù)的記錄客戶端和服務(wù)器端以及它們的依賴庫的版本信息。持續(xù)監(jiān)控如 CVE 和 NVD 等是否發(fā)布已使用組件的漏洞信息，可以使用軟件分析工具來自動完成此功能。訂閱關(guān)于使用組件安全漏洞的警告郵件。
• 僅從官方渠道安全的獲取組件，并使用簽名機制來降低組件被篡改或加入惡意漏洞的風險。
• 監(jiān)控那些不再維護或者不發(fā)布安全補丁的庫和組件。如果不能打補丁，可以考慮部署虛擬補丁來監(jiān)控、檢測或保護。

10. 不足的日志記錄和監(jiān)控 Insufficient Logging & Monitoring

不足的日志記錄和監(jiān)控，以及事件響應缺失或無效的集成，使攻擊者能夠進一步攻擊系統(tǒng)、保持持續(xù)性或轉(zhuǎn)向更多系統(tǒng)，以及篡改、提取或銷毀數(shù)據(jù)。大多數(shù)缺陷研究顯示，缺陷被檢測出的時間超過200天，且通常通過外部檢測方檢測，而不是通過內(nèi)部流程或監(jiān)控檢測

產(chǎn)生原因：

• 未記錄可審計性事件，如：登錄、登錄失敗和高額交易。
• 告警和錯誤事件未能產(chǎn)生或產(chǎn)生不足的和不清晰的日志信息。
• 沒有利用應用系統(tǒng)和API的日志信息來監(jiān)控可疑活動。
• 日志信息僅在本地存儲。
• 沒有定義合理的告警閾值和制定響應處理流程。
• 滲透測試和使用DAST工具（如：OWASP ZAP）掃描沒有觸發(fā)告警。
• 對于實時或準實時的攻擊，應用程序無法檢測、處理和告警。

防御方法：

• 確保所有登錄、訪問控制失敗、輸入驗證失敗能夠被記錄到日志中去，并保留足夠的用戶上下文信息，以識別可疑或惡意帳戶，并為后期取證預留足夠時間。
• 確保日志以一種能被集中日志管理解決方案使用的形式生成。
• 確保高額交易有完整性控制的審計信息，以防止篡改或刪除，例如審計信息保存在只能進行記錄增加的數(shù)據(jù)庫表中。
• 建立有效的監(jiān)控和告警機制，使可疑活動在可接受的時間內(nèi)被發(fā)現(xiàn)和應對。
• 建立或采取一個應急響應機制和恢復計劃，例如：NIST 800-61 rev 2 或更新版本。

TOP 10 風險因素總結(jié)

其它值得關(guān)注的漏洞

• CWE-352: 跨站點請求偽造（CSRF）
• CWE-400: 不受控制的資源消耗 （“資源枯竭”、“App拒絕服務(wù)” ）
• CWE-434: 無限制上傳危險類型文件
• CWE-451: 用戶界面（UI）對關(guān)鍵信息的誤傳（點擊劫持和其他）
• CWE-601: 未經(jīng)驗證的轉(zhuǎn)發(fā)和重定向
• CWE-799: 交互頻率控制不當（反自動化）
• CWE-829:不可信控制域包含功能性（第三方內(nèi)容）
• CWE-918: 服務(wù)器端請求偽造（SSRF）

本文摘自官網(wǎng)文檔，詳情可到官網(wǎng)查看。

總結(jié)

以上是生活随笔為你收集整理的OWASP TOP 10的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。