• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    高校網(wǎng)站安全的“矛”與“盾”(二)

    2011-11-09 06:41:46諸葛建偉
    中國(guó)教育網(wǎng)絡(luò) 2011年6期
    關(guān)鍵詞:應(yīng)用程序用戶信息

    文/諸葛建偉

    高校網(wǎng)站安全的“矛”與“盾”(二)

    文/諸葛建偉

    COST論壇由CCERT、《中國(guó)教育網(wǎng)絡(luò)》雜志于2008年共同發(fā)起,采取會(huì)員制,面向個(gè)人,完全免費(fèi),以開放、平等、自由的互聯(lián)網(wǎng)精神運(yùn)作。如需獲取COST技術(shù)論壇視頻、錄音等資料,請(qǐng)登錄:http://www.cost.edu.cn/。

    Web應(yīng)用安全威脅和設(shè)防措施

    在網(wǎng)站系統(tǒng)的各個(gè)軟件層次上,目前最薄弱的安全環(huán)節(jié)在于Web應(yīng)用程序。相比較于底層操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和常用應(yīng)用軟件,Web應(yīng)用程序可能是開發(fā)過(guò)程最快、編碼質(zhì)量和測(cè)試水平最低的,這也造成了Web應(yīng)用程序安全性最為薄弱的現(xiàn)狀。同時(shí),Web應(yīng)用程序的復(fù)雜性和靈活性又進(jìn)一步惡化了它們的安全性。

    國(guó)際上著名的信息安全研究組織OWASP在2007年首次公布之后,2010年又發(fā)布了Web應(yīng)用程序所面臨的最新十大安全威脅(如表1所示)。從中我們可以看到,代碼注入攻擊和XSS跨站腳本一直以來(lái)占據(jù)著前兩位的位置,也是目前高校網(wǎng)站所面臨的最普遍的Web應(yīng)用攻擊方式。

    代碼注入攻擊有多種類型,但SQL注入攻擊是其中最為常見和簡(jiǎn)單易懂的技術(shù)類型,我們以它為例,來(lái)介紹高校網(wǎng)站W(wǎng)eb應(yīng)用程序的主要安全威脅狀況。

    SQL注入是利用Web應(yīng)用程序數(shù)據(jù)層存在的輸入驗(yàn)證不完善型安全漏洞實(shí)施的一類代碼注入攻擊技術(shù),能夠通過(guò)惡意讀取、修改與操縱數(shù)據(jù)庫(kù),來(lái)竊取網(wǎng)站敏感信息,進(jìn)而攻陷網(wǎng)站獲得控制權(quán)。目前在網(wǎng)絡(luò)駭客社群中流傳著各種自動(dòng)化的SQL注入攻擊工具,如CSC、NBSI、HDSI、阿D注入工具、WED、Domain等。

    而高校網(wǎng)站中,大量涉及數(shù)據(jù)庫(kù)查詢操作的Web應(yīng)用程序在開發(fā)時(shí)并沒有考慮到對(duì)SQL注入攻擊的預(yù)防、檢測(cè)和防御,例如某高??蒲泄芾頇C(jī)構(gòu)維護(hù)的科研經(jīng)費(fèi)來(lái)款查詢系統(tǒng),是一個(gè)非常簡(jiǎn)單的ASP動(dòng)態(tài)頁(yè)面程序,設(shè)計(jì)目的是為高??蒲腥藛T查詢所承擔(dān)的各類科研項(xiàng)目經(jīng)費(fèi)是否到款、到款數(shù)額及撥付情況,在檢索表單中需用戶輸入一個(gè)對(duì)來(lái)款單位進(jìn)行查詢的關(guān)鍵字,并只返回包含給定關(guān)鍵字的來(lái)款記錄,ASP程序中使用的SQL語(yǔ)句猜想應(yīng)該是類似于“SELECT * FROM some_tbl where some_rec like ' %INPUT%'”。然而這個(gè)程序好像沒有對(duì)用戶輸入做任何的安全驗(yàn)證和過(guò)濾,因此當(dāng)具有好奇心的一些用戶,比如說(shuō)作者本人,希望了解到其他科研人員承擔(dān)各類科研項(xiàng)目的情況,就會(huì)在輸入框內(nèi)填寫“a% ' or ' a ' like ' %a”,點(diǎn)擊檢索之后就可以得到數(shù)據(jù)表全部記錄信息,這是因?yàn)槌绦蛟谧⑷氲妮斎牒?,使用的SQL語(yǔ)句將會(huì)變成“SELECT * FROM some_tbl where some_rec like ' % a% ' or ' a ' like ' %a '”,而' a ' like ' %a '是一個(gè)永真式,使得WHERE子句永真,因此該SQL語(yǔ)句等價(jià)于“SELECT * FROM some_tbl”,從而在返回結(jié)果中給出全部記錄信息。當(dāng)然,由于該ASP程序存在著SQL注入漏洞,對(duì)它的攻擊可以不限于此,還包括猜解管理員用戶口令、上傳ASP后門和本地提權(quán)攻擊等。

    該漏洞可能在該網(wǎng)站上存在了數(shù)年之久,筆者曾向網(wǎng)站留下的管理員郵件地址發(fā)送多封漏洞提示郵件,但均未有回復(fù),想是該網(wǎng)站已無(wú)技術(shù)人員維護(hù),或是管理員郵件地址已淪為垃圾郵件充斥的郵箱而無(wú)人問(wèn)津。

    為了應(yīng)對(duì)高校網(wǎng)站W(wǎng)eb應(yīng)用程序所普遍面臨的代碼注入、XSS等安全攻擊威脅,網(wǎng)站運(yùn)營(yíng)者和管理部門在機(jī)制方面需要建立起恰當(dāng)?shù)墓芾砗拓?zé)任制度,從技術(shù)角度則建議采用如下安全設(shè)防措施:

    表1 OWASP組織公布的Top 10 Web應(yīng)用程序安全威脅類型

    1) 對(duì)于信息發(fā)布類網(wǎng)站盡量采用靜態(tài)網(wǎng)站設(shè)計(jì)

    采用動(dòng)態(tài)內(nèi)容、支持用戶輸入的Web應(yīng)用程序較靜態(tài)HTML具有更高的安全風(fēng)險(xiǎn),因此技術(shù)人員在設(shè)計(jì)與開發(fā)Web應(yīng)用時(shí),應(yīng)謹(jǐn)慎考慮是否采用動(dòng)態(tài)頁(yè)面技術(shù)、是否支持客戶端執(zhí)行代碼、是否允許接受用戶輸入,信息發(fā)布類網(wǎng)站往往無(wú)需引入動(dòng)態(tài)頁(yè)面和用戶交互,而且可以通過(guò)后臺(tái)系統(tǒng)來(lái)產(chǎn)生信息發(fā)布靜態(tài)頁(yè)面的方式(這種Web站點(diǎn)構(gòu)建方式也被新浪、搜狐等門戶網(wǎng)站所采納)來(lái)兼顧安全性、訪問(wèn)性能與便捷性。蘭州大學(xué)的李仲賢老師曾在COST論壇分享了采用這種設(shè)計(jì)思路構(gòu)建校園信息門戶網(wǎng)站的經(jīng)驗(yàn)。

    2) 選擇安全性高、可靠的Web應(yīng)用軟件包和解決方案

    對(duì)于必須提供用戶交互、采用動(dòng)態(tài)頁(yè)面的Web站點(diǎn),盡量使用具有良好安全聲譽(yù)及穩(wěn)定技術(shù)支持力量的Web應(yīng)用軟件包,如活躍的開源和共享軟件,規(guī)范運(yùn)作、注重安全的商業(yè)軟件公司解決方案等,并定期進(jìn)行Web應(yīng)用程序的安全評(píng)估與漏洞掃描檢測(cè),對(duì)Web應(yīng)用程序應(yīng)跟進(jìn)版本更新和安全補(bǔ)丁發(fā)布情況,進(jìn)行升級(jí)與安全漏洞修補(bǔ)。

    只在必要時(shí)候自主或外包開發(fā)Web應(yīng)用程序,在開發(fā)和部署過(guò)程中需重視安全編程、持續(xù)性的安全測(cè)試與維護(hù),安全編程與測(cè)試的檢查點(diǎn)有:獨(dú)立、完整且集中的輸入驗(yàn)證、校驗(yàn)全部的程序輸入、校驗(yàn)輸入長(zhǎng)度與類型、不使用任何方式驗(yàn)證失敗的數(shù)據(jù)、對(duì)HTTP所有內(nèi)容進(jìn)行校驗(yàn)、校驗(yàn)向用戶輸出的數(shù)據(jù)、使用安全的S Q L查詢方式、禁止使用JavaScript進(jìn)行任何校驗(yàn)、使用安全統(tǒng)一的編碼或轉(zhuǎn)義方式、設(shè)定安全的權(quán)限邊界、校驗(yàn)被調(diào)用的后臺(tái)命令、校驗(yàn)被調(diào)用的文本或配置文件、確保程序所記錄的日志可控。

    3) 充分有效利用Web服務(wù)器的日志功能

    對(duì)Web應(yīng)用程序的所有訪問(wèn)請(qǐng)求進(jìn)行日志記錄與安全審計(jì),如Apache的access_logs/error_logs、IIS的日志文件等等,這些Web訪問(wèn)日志往往以W3C的日志標(biāo)準(zhǔn)格式——Extended Common Log Format來(lái)進(jìn)行記錄,關(guān)鍵的信息包括訪問(wèn)用戶名、請(qǐng)求URL、referer來(lái)源鏈接等。通過(guò)一些輔助的Web日志分析與檢測(cè)工具,如AWStats等,可以從中發(fā)現(xiàn)出針對(duì)Web應(yīng)用程序的漏洞探測(cè)、滲透攻擊等入侵行為。

    4) 定期進(jìn)行網(wǎng)站W(wǎng)eb應(yīng)用程序漏洞掃描

    使用IBM AppScan、HP WebInspect、Acunetix Web Vulnerability Scanner等Web漏洞掃描軟件定期對(duì)重點(diǎn)網(wǎng)站進(jìn)行Web應(yīng)用程序漏洞掃描,并根據(jù)掃描結(jié)果推動(dòng)程序開發(fā)和測(cè)試團(tuán)隊(duì)修補(bǔ)所發(fā)現(xiàn)的安全漏洞,提高網(wǎng)站應(yīng)用的安全性。除了Web應(yīng)用程序漏洞掃描器產(chǎn)品之外,國(guó)內(nèi)的一些安全公司,如綠盟、知道創(chuàng)宇等,也提供了遠(yuǎn)程的網(wǎng)站W(wǎng)eb漏洞安全掃描服務(wù),這種遠(yuǎn)程在線服務(wù)提供了投入資金和技術(shù)成本更低的高效安全解決方案。

    5) 部署Web應(yīng)用防火墻產(chǎn)品或服務(wù)

    對(duì)于高校安全敏感的網(wǎng)站系統(tǒng),如主頁(yè)站點(diǎn)和校園信息門戶等,應(yīng)進(jìn)行重點(diǎn)安全防護(hù),建議部署商業(yè)或開源的Web應(yīng)用防火墻設(shè)備,來(lái)檢測(cè)和抵御針對(duì)這些網(wǎng)站系統(tǒng)的Web應(yīng)用攻擊,但這種方式對(duì)投入成本和技術(shù)水平要求較高,較難大規(guī)模推廣。筆者所在單位在多年研究基礎(chǔ)上,實(shí)現(xiàn)了Web應(yīng)用防火墻服務(wù)云的技術(shù)解決方案,可以無(wú)需在防護(hù)網(wǎng)站端部署任何硬件設(shè)備,也無(wú)需改變網(wǎng)絡(luò)拓?fù)?,通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)參數(shù)配置,即可以通過(guò)在云環(huán)境中集中部署的Web應(yīng)用防火墻,為遠(yuǎn)程的客戶網(wǎng)站提供安全防護(hù)托管服務(wù),這種技術(shù)方案能夠?yàn)橐?guī)模較小、缺乏安全技術(shù)水平的高校網(wǎng)站提供了非常便捷和低成本的安全保護(hù)措施。對(duì)于規(guī)模較大的高校網(wǎng)站群,也可以采用私有云方式來(lái)部署Web應(yīng)用防火墻服務(wù),同樣無(wú)需改變網(wǎng)絡(luò)拓?fù)洌纯赏瓿蓪?duì)網(wǎng)站群的高效安全防護(hù)。如需了解更多詳細(xì)信息,可通過(guò)本文作者向該服務(wù)具體負(fù)責(zé)老師進(jìn)行詳細(xì)咨詢。

    Web數(shù)據(jù)安全威脅和設(shè)防措施

    Web數(shù)據(jù)構(gòu)成了高校網(wǎng)站的重要組成內(nèi)容,也隨之面臨攻擊者竊取敏感與隱私信息,惡意篡改頁(yè)面和注入不良信息內(nèi)容等安全威脅。

    雖然大部分高校網(wǎng)站并不涉及敏感與隱私信息,但由于一些網(wǎng)站用戶缺失保密和安全意識(shí),少部分網(wǎng)站上仍可能存在泄露科研敏感信息和師生個(gè)人隱私信息的情況,而攻擊者可以采用強(qiáng)大的Google Hacking技術(shù),借助搜索引擎的力量,非常便捷地發(fā)現(xiàn)和攫取這些被意外或無(wú)意間泄露的敏感內(nèi)容。在某高校網(wǎng)站的上傳目錄中無(wú)意泄露出的一份教師職稱評(píng)估業(yè)績(jī)表中,可以發(fā)現(xiàn)該教師承擔(dān)了一些來(lái)自國(guó)家敏感部門的科研項(xiàng)目,并完成了數(shù)篇關(guān)于武器技術(shù)的國(guó)防科技報(bào)告,筆者雖然無(wú)法確認(rèn)這些泄露信息是否屬于保密范圍,但個(gè)人認(rèn)為在互聯(lián)網(wǎng)上暴露如此詳細(xì)的涉及武器技術(shù)研發(fā)的項(xiàng)目與成果情況,應(yīng)屬不該發(fā)生的事情。

    在高校網(wǎng)站上泄露師生個(gè)人隱私信息則更為常見,利用Google Hacking的一些基本技巧,如搜索“filetype:xls site:edu.cn 課題 身份證號(hào)”,可以發(fā)現(xiàn)內(nèi)部包含有“課題”和“身份證號(hào)”關(guān)鍵字的XLS電子文件,通常會(huì)找出一些包含有申請(qǐng)人身份證敏感信息的科研課題申請(qǐng)資料,在一個(gè)實(shí)驗(yàn)室網(wǎng)站的incoming目錄上可以挖掘出一份課題申報(bào)信息表,其中包含了所有課題主要參與人員的身份證號(hào)敏感信息。搜索“filetype:xls 身份證號(hào) site:edu.cn”、“filetype:xls 信用卡 site:edu.cn”還會(huì)發(fā)現(xiàn)大量高校網(wǎng)站隨意泄露學(xué)生個(gè)人敏感信息的情況,常見的如國(guó)家活動(dòng)安排、獎(jiǎng)助學(xué)金評(píng)選、新生報(bào)到等活動(dòng)公開資料中經(jīng)常給出完整的學(xué)生身份證號(hào)碼和信用卡號(hào)等,如在某高校網(wǎng)站上公開的殘奧會(huì)志愿者活動(dòng)安排材料中隨意包含了學(xué)生身份證號(hào)。此類情況往往是由于高校中的一些行政人員缺乏保護(hù)個(gè)人隱私信息的觀念和意識(shí),未經(jīng)屏蔽處理,即把完全沒有必要公開的身份證號(hào)、信用卡號(hào)等隱私信息直接發(fā)布在網(wǎng)絡(luò)上,這往往會(huì)對(duì)學(xué)生的網(wǎng)絡(luò)信息安全造成一定的風(fēng)險(xiǎn),如身份信息可能被濫用、常作為口令使用的生日日期被搜索獲得等。

    通過(guò)一些觀察和分析,筆者認(rèn)為目前高校網(wǎng)站通常的敏感信息泄露途徑和方式包括:

    1) 由于不安全配置,未關(guān)閉Web服務(wù)器的文件列表枚舉和目錄遍歷,在不經(jīng)意間泄露服務(wù)器中保存的敏感信息;

    2) 利用Web服務(wù)器(往往同時(shí)配置FTP服務(wù))的Upload、Incoming等上傳目錄中轉(zhuǎn)文件時(shí),被搜索引擎爬蟲檢索而不經(jīng)意泄露;

    3) 由于網(wǎng)站用戶缺乏安全意識(shí),在公開文檔中隨意包含他人,特別是學(xué)生的隱私信息;

    4) 在公開的個(gè)人簡(jiǎn)歷、職稱晉升材料和課題申請(qǐng)書中包含科研敏感信息。

    除了敏感信息泄露之外,高校網(wǎng)站還比較容易遭受網(wǎng)頁(yè)篡改攻擊。2008年9月份清華和北大網(wǎng)站曾被“黑客”攻擊,并假冒校長(zhǎng)名義發(fā)表抨擊大學(xué)教育的文章。在如圖2所示的中國(guó)被黑站點(diǎn)統(tǒng)計(jì)網(wǎng)站(www.zone-h.com.cn)和圖3所示的世界被黑站點(diǎn)統(tǒng)計(jì)網(wǎng)站(www.zone-h.org)上都可以查詢到大量被攻擊和篡改網(wǎng)頁(yè)的高校網(wǎng)站。筆者曾發(fā)表一篇論文《基于元搜索引擎實(shí)現(xiàn)被篡改網(wǎng)站發(fā)現(xiàn)與攻擊者調(diào)查剖析》,高校網(wǎng)站管理部門可以借鑒這種方法,通過(guò)綜合利用Google、百度、Yahoo等搜索引擎對(duì)網(wǎng)站的監(jiān)控能力,利用常見的網(wǎng)頁(yè)篡改特征和對(duì)站點(diǎn)范圍的限定,自動(dòng)地發(fā)現(xiàn)關(guān)注站點(diǎn)范圍內(nèi)被惡意篡改的網(wǎng)頁(yè)。圖4示例了利用在網(wǎng)頁(yè)標(biāo)題中匹配“hacked by”特征來(lái)發(fā)現(xiàn)edu.cn域名范圍內(nèi)的被黑網(wǎng)站。

    不良信息內(nèi)容也對(duì)高校網(wǎng)站的正常運(yùn)營(yíng)帶來(lái)了安全風(fēng)險(xiǎn),高校網(wǎng)站被攻陷后可能成為色情淫穢等不良信息的存儲(chǔ)和中轉(zhuǎn)倉(cāng)庫(kù),而提供用戶交互的BBS、論壇和博客等網(wǎng)站則可能遭遇網(wǎng)站用戶發(fā)布不良信息內(nèi)容的情況,如果論壇管理者、博主沒有有效管理他們的網(wǎng)站,那么很多涉及出售非法物品的廣告會(huì)被經(jīng)常光顧并被長(zhǎng)期保留在這些網(wǎng)站上。

    為了應(yīng)對(duì)高校網(wǎng)站所面臨的Web數(shù)據(jù)安全威脅,高校網(wǎng)絡(luò)管理部門應(yīng)通過(guò)各種有效途徑,來(lái)提高網(wǎng)站維護(hù)人員和用戶的數(shù)據(jù)安全意識(shí),包括:

    1)保密信息絕對(duì)不能聯(lián)網(wǎng),此外也不應(yīng)在網(wǎng)上公開團(tuán)隊(duì)和個(gè)人承擔(dān)涉密項(xiàng)目的信息,以免引來(lái)針對(duì)性的社會(huì)工程攻擊;

    2)應(yīng)教育行政人員和師生注重個(gè)人隱私信息,網(wǎng)上公布的文檔資料中應(yīng)盡量避免包含個(gè)人隱私信息,如必要時(shí),也應(yīng)進(jìn)行部分的屏蔽處理;

    3)注意對(duì)論壇、博客、BBS、留言本等允許用戶提交數(shù)據(jù)的審查,清除明確包含違法信息的數(shù)據(jù)內(nèi)容。

    另外網(wǎng)絡(luò)管理部門應(yīng)幫助網(wǎng)站運(yùn)營(yíng)者加強(qiáng)網(wǎng)站數(shù)據(jù)安全性監(jiān)測(cè)和防護(hù)措施,包括:

    1)提升網(wǎng)站系統(tǒng)及Web應(yīng)用程序的安全性,避免網(wǎng)站遭遇網(wǎng)頁(yè)篡改;

    2)善用Google、百度等搜索引擎,定期進(jìn)行關(guān)注域名范圍內(nèi)的被黑網(wǎng)站發(fā)現(xiàn)和敏感數(shù)據(jù)檢查;

    3)對(duì)網(wǎng)站的安全配置進(jìn)行核查,盡量消除文件列表枚舉、目錄遍歷、隨意上傳等容易泄露信息的渠道;

    4)對(duì)接受用戶交互的網(wǎng)站列出清單,協(xié)助網(wǎng)站運(yùn)營(yíng)者進(jìn)行定期的數(shù)據(jù)安全性檢查;

    5)建立規(guī)范便捷的網(wǎng)站安全響應(yīng)機(jī)制和流程。

    網(wǎng)站系統(tǒng)的安全威脅存在于傳輸網(wǎng)絡(luò)、操作系統(tǒng)與網(wǎng)絡(luò)服務(wù)、Web應(yīng)用程序和數(shù)據(jù)內(nèi)容等各個(gè)層次上,類型也非常多樣化,并且廣泛普遍存在。而高校網(wǎng)站由于資金和人力投入少,安全性尤為薄弱,各種安全問(wèn)題頻頻出現(xiàn)。高校網(wǎng)絡(luò)管理部門應(yīng)擔(dān)負(fù)起改善網(wǎng)站安全性的責(zé)任,爭(zhēng)取學(xué)校經(jīng)費(fèi)投入,建立安全管理和責(zé)任機(jī)制,并通過(guò)采納開源和商業(yè)的技術(shù)方案,建立起網(wǎng)站安全建設(shè)、監(jiān)控和響應(yīng)技術(shù)流程,來(lái)切實(shí)提升高校網(wǎng)站的安全性。同時(shí),高校網(wǎng)站安全也需要多方協(xié)作,高校網(wǎng)站管理部門和網(wǎng)站管理者應(yīng)成為安全責(zé)任主體,來(lái)推動(dòng)相關(guān)安全機(jī)制的建立,而運(yùn)營(yíng)商、科研機(jī)構(gòu)和安全公司也應(yīng)對(duì)高校提供技術(shù)支持與幫助,網(wǎng)站用戶也應(yīng)建立起良好的安全意識(shí),只有如此,高校網(wǎng)站才能夠不再是網(wǎng)絡(luò)駭客們所青睞的“軟柿子”,而真正成為服務(wù)于廣大師生、支撐數(shù)字校園的堅(jiān)強(qiáng)后盾。

    (作者單位為清華大學(xué)網(wǎng)絡(luò)工程研究中心)

    猜你喜歡
    應(yīng)用程序用戶信息
    刪除Win10中自帶的應(yīng)用程序
    訂閱信息
    中華手工(2017年2期)2017-06-06 23:00:31
    關(guān)注用戶
    商用汽車(2016年11期)2016-12-19 01:20:16
    關(guān)注用戶
    商用汽車(2016年6期)2016-06-29 09:18:54
    關(guān)注用戶
    商用汽車(2016年4期)2016-05-09 01:23:12
    如何獲取一億海外用戶
    展會(huì)信息
    關(guān)閉應(yīng)用程序更新提醒
    電腦迷(2012年15期)2012-04-29 17:09:47
    三星電子將開設(shè)應(yīng)用程序下載商店
    微軟軟件商店開始接受應(yīng)用程序
    91成人精品电影| www.精华液| 真人一进一出gif抽搐免费| 亚洲精华国产精华精| 国产黄色免费在线视频| av网站免费在线观看视频| 亚洲一码二码三码区别大吗| 国产av精品麻豆| 国产亚洲欧美在线一区二区| 天堂动漫精品| 99在线人妻在线中文字幕| 亚洲国产精品999在线| av天堂在线播放| 亚洲一区二区三区色噜噜 | 91成人精品电影| 在线视频色国产色| 天天躁狠狠躁夜夜躁狠狠躁| 久久人人精品亚洲av| 91成人精品电影| 精品一区二区三卡| 深夜精品福利| 天堂√8在线中文| 国产主播在线观看一区二区| 亚洲,欧美精品.| www.自偷自拍.com| 亚洲国产精品999在线| 国产av在哪里看| 国产又色又爽无遮挡免费看| 变态另类成人亚洲欧美熟女 | 国产真实伦视频高清在线观看 | 好男人电影高清在线观看| 免费看光身美女| 九九久久精品国产亚洲av麻豆| 亚洲经典国产精华液单 | 欧美一区二区精品小视频在线| 亚洲七黄色美女视频| av国产免费在线观看| 又黄又爽又刺激的免费视频.| 久久精品综合一区二区三区| 老熟妇仑乱视频hdxx| 欧美日韩瑟瑟在线播放| 99热这里只有是精品50| 乱码一卡2卡4卡精品| bbb黄色大片| av视频在线观看入口| 变态另类丝袜制服| 日本精品一区二区三区蜜桃| 亚洲av第一区精品v没综合| 国产精品一及| 啪啪无遮挡十八禁网站| 丁香欧美五月| 琪琪午夜伦伦电影理论片6080| 少妇裸体淫交视频免费看高清| 国产av麻豆久久久久久久| 极品教师在线免费播放| 日本 av在线| 亚洲avbb在线观看| 欧美性感艳星| 3wmmmm亚洲av在线观看| 在线天堂最新版资源| 精品国产亚洲在线| 91麻豆精品激情在线观看国产| 亚洲av第一区精品v没综合| 精品人妻熟女av久视频| 99热精品在线国产| 嫩草影视91久久| 国产黄a三级三级三级人| 色精品久久人妻99蜜桃| 又黄又爽又刺激的免费视频.| 伊人久久精品亚洲午夜| 99久久精品热视频| 最近最新免费中文字幕在线| 久久国产精品人妻蜜桃| 久久精品91蜜桃| 高清日韩中文字幕在线| 在现免费观看毛片| 国产精品野战在线观看| h日本视频在线播放| 国产不卡一卡二| 91在线精品国自产拍蜜月| 欧美中文日本在线观看视频| 少妇高潮的动态图| 久久久久久久久大av| 日本a在线网址| 一级av片app| 小蜜桃在线观看免费完整版高清| 精品人妻1区二区| 久久久久久国产a免费观看| 日韩亚洲欧美综合| 精品久久久久久久人妻蜜臀av| 全区人妻精品视频| 少妇的逼好多水| 一本一本综合久久| 亚洲av中文字字幕乱码综合| 国产爱豆传媒在线观看| 丰满乱子伦码专区| 成年女人毛片免费观看观看9| 91狼人影院| 神马国产精品三级电影在线观看| 超碰av人人做人人爽久久| 久久久久性生活片| 国产探花极品一区二区| 国产主播在线观看一区二区| 久久久久九九精品影院| 天堂网av新在线| 麻豆久久精品国产亚洲av| 亚洲自偷自拍三级| 熟女人妻精品中文字幕| 欧美乱色亚洲激情| 搡女人真爽免费视频火全软件 | 国产欧美日韩精品亚洲av| 97热精品久久久久久| 色尼玛亚洲综合影院| 亚洲av二区三区四区| 一区福利在线观看| 国产成人影院久久av| 国产在线精品亚洲第一网站| 中文字幕av成人在线电影| 成年女人永久免费观看视频| 免费看日本二区| 伊人久久精品亚洲午夜| 亚洲,欧美精品.| 久久久色成人| 国产亚洲精品综合一区在线观看| 欧美bdsm另类| 欧美成狂野欧美在线观看| 亚洲av成人精品一区久久| 亚洲成人久久性| 国产三级黄色录像| 亚洲欧美精品综合久久99| 成人高潮视频无遮挡免费网站| 五月伊人婷婷丁香| 国产亚洲av嫩草精品影院| 亚洲在线观看片| 国内少妇人妻偷人精品xxx网站| АⅤ资源中文在线天堂| 51国产日韩欧美| 又爽又黄a免费视频| 中文亚洲av片在线观看爽| 亚洲av美国av| 精品无人区乱码1区二区| 国产亚洲精品av在线| 亚洲国产精品999在线| 91久久精品国产一区二区成人| 精品日产1卡2卡| 成年版毛片免费区| 黄片小视频在线播放| 麻豆国产av国片精品| 真人做人爱边吃奶动态| 搡老岳熟女国产| 精品久久久久久久末码| 亚洲欧美日韩高清在线视频| 日韩成人在线观看一区二区三区| 中亚洲国语对白在线视频| 天堂影院成人在线观看| 99国产极品粉嫩在线观看| 亚洲无线在线观看| 观看美女的网站| 丰满乱子伦码专区| 日本五十路高清| 欧美+日韩+精品| 成人美女网站在线观看视频| 别揉我奶头 嗯啊视频| 亚洲人成网站在线播| 亚洲一区高清亚洲精品| 色视频www国产| 亚洲一区高清亚洲精品| 日韩有码中文字幕| 三级毛片av免费| 色视频www国产| 婷婷丁香在线五月| 精品久久久久久成人av| 人妻久久中文字幕网| 人妻久久中文字幕网| 国产高清三级在线| 亚洲真实伦在线观看| 午夜亚洲福利在线播放| 中文字幕久久专区| 日韩欧美精品v在线| 精品久久久久久久末码| 亚洲成av人片在线播放无| 五月伊人婷婷丁香| 深爱激情五月婷婷| 中出人妻视频一区二区| 麻豆久久精品国产亚洲av| 99国产综合亚洲精品| 色综合欧美亚洲国产小说| 一个人看视频在线观看www免费| 久久国产乱子伦精品免费另类| 中国美女看黄片| 国产色婷婷99| 欧美在线黄色| 亚洲av免费高清在线观看| 亚洲中文日韩欧美视频| 国产蜜桃级精品一区二区三区| 日本一二三区视频观看| 国产伦一二天堂av在线观看| 美女黄网站色视频| 欧美丝袜亚洲另类 | 日本五十路高清| 夜夜爽天天搞| 丁香六月欧美| 国产不卡一卡二| 好男人在线观看高清免费视频| 免费av观看视频| 国产真实伦视频高清在线观看 | 亚洲第一电影网av| 欧美又色又爽又黄视频| 性色avwww在线观看| 亚洲av中文字字幕乱码综合| 久久精品国产清高在天天线| 国产单亲对白刺激| 12—13女人毛片做爰片一| 国产精品自产拍在线观看55亚洲| 观看免费一级毛片| 亚洲美女黄片视频| 毛片女人毛片| 精品福利观看| 免费大片18禁| 最近最新中文字幕大全电影3| 国产精品久久久久久久电影| 亚洲欧美日韩卡通动漫| 午夜视频国产福利| 亚洲av免费在线观看| 久久99热6这里只有精品| 九九在线视频观看精品| 免费看美女性在线毛片视频| 99热精品在线国产| 亚洲激情在线av| 99热6这里只有精品| 老熟妇乱子伦视频在线观看| 国产精品女同一区二区软件 | 全区人妻精品视频| 丝袜美腿在线中文| 国产亚洲精品综合一区在线观看| 亚洲av成人av| 欧美国产日韩亚洲一区| 此物有八面人人有两片| 亚洲欧美清纯卡通| 国内精品一区二区在线观看| 嫩草影院精品99| 日本在线视频免费播放| 久久人人精品亚洲av| 国产成人影院久久av| 国产精品亚洲美女久久久| 美女黄网站色视频| 成人亚洲精品av一区二区| 国产免费一级a男人的天堂| 天美传媒精品一区二区| 看黄色毛片网站| 黄色女人牲交| 国产成人欧美在线观看| 97碰自拍视频| 简卡轻食公司| 久久精品91蜜桃| 久久久久久久精品吃奶| 日韩国内少妇激情av| АⅤ资源中文在线天堂| 日本在线视频免费播放| 99国产极品粉嫩在线观看| 十八禁人妻一区二区| 欧美+日韩+精品| 久久人人爽人人爽人人片va | 中文字幕av成人在线电影| 国产伦精品一区二区三区视频9| 9191精品国产免费久久| av福利片在线观看| 最好的美女福利视频网| 国产精品三级大全| 一级作爱视频免费观看| 精品熟女少妇八av免费久了| 亚洲av电影不卡..在线观看| av在线老鸭窝| 麻豆久久精品国产亚洲av| 久久精品久久久久久噜噜老黄 | 小说图片视频综合网站| 人人妻人人澡欧美一区二区| 男女床上黄色一级片免费看| 成年人黄色毛片网站| 99热这里只有是精品50| .国产精品久久| 久久亚洲精品不卡| 舔av片在线| 精品午夜福利视频在线观看一区| 男人舔奶头视频| 男插女下体视频免费在线播放| 成人国产综合亚洲| 午夜亚洲福利在线播放| 国产精品99久久久久久久久| 一个人免费在线观看的高清视频| 啦啦啦韩国在线观看视频| 久久99热这里只有精品18| 美女高潮的动态| 亚洲专区中文字幕在线| 好男人在线观看高清免费视频| 久久国产精品影院| 欧美成人一区二区免费高清观看| 国产毛片a区久久久久| 18禁在线播放成人免费| 色综合婷婷激情| 欧美黑人欧美精品刺激| 乱码一卡2卡4卡精品| 男女下面进入的视频免费午夜| 免费在线观看亚洲国产| 婷婷精品国产亚洲av在线| 好男人在线观看高清免费视频| 欧美激情久久久久久爽电影| 88av欧美| 无人区码免费观看不卡| 国产高清三级在线| 免费无遮挡裸体视频| 国产乱人视频| 久久国产乱子伦精品免费另类| 国产高清视频在线观看网站| 美女cb高潮喷水在线观看| 日本在线视频免费播放| 欧美绝顶高潮抽搐喷水| 成人毛片a级毛片在线播放| a级毛片免费高清观看在线播放| 中国美女看黄片| 高清在线国产一区| 亚洲精品色激情综合| 制服丝袜大香蕉在线| 非洲黑人性xxxx精品又粗又长| 一个人看视频在线观看www免费| 麻豆国产97在线/欧美| 亚洲久久久久久中文字幕| 亚洲乱码一区二区免费版| 国产精品女同一区二区软件 | 熟女人妻精品中文字幕| 日韩免费av在线播放| 国产亚洲av嫩草精品影院| 亚洲经典国产精华液单 | 欧美区成人在线视频| 毛片一级片免费看久久久久 | 日本黄色视频三级网站网址| 成人无遮挡网站| 亚洲最大成人中文| 深爱激情五月婷婷| 久久精品国产亚洲av涩爱 | 亚洲精品一卡2卡三卡4卡5卡| 一夜夜www| 欧美日本视频| 超碰av人人做人人爽久久| 91在线观看av| 99国产综合亚洲精品| 91在线观看av| 我要搜黄色片| 国内精品一区二区在线观看| 啪啪无遮挡十八禁网站| 日本成人三级电影网站| 男女之事视频高清在线观看| 又黄又爽又免费观看的视频| 亚洲黑人精品在线| 又紧又爽又黄一区二区| 国产精华一区二区三区| 亚洲第一区二区三区不卡| 久久久久九九精品影院| 日本黄大片高清| 久久午夜亚洲精品久久| 三级国产精品欧美在线观看| 午夜精品在线福利| 午夜福利高清视频| 欧美xxxx性猛交bbbb| 成人av一区二区三区在线看| 一级作爱视频免费观看| 此物有八面人人有两片| 欧美丝袜亚洲另类 | a级毛片免费高清观看在线播放| 亚洲在线观看片| 天堂动漫精品| 国产探花在线观看一区二区| 欧美日韩中文字幕国产精品一区二区三区| 午夜免费男女啪啪视频观看 | avwww免费| 特大巨黑吊av在线直播| 国产伦精品一区二区三区视频9| 亚洲精品乱码久久久v下载方式| 国产精品av视频在线免费观看| 成年女人毛片免费观看观看9| 2021天堂中文幕一二区在线观| 久久久久国内视频| 又黄又爽又免费观看的视频| 午夜福利在线观看吧| 欧美日韩综合久久久久久 | 日韩有码中文字幕| 国产av在哪里看| 国产精品亚洲av一区麻豆| 午夜福利在线在线| 国产69精品久久久久777片| 免费看a级黄色片| 欧美色欧美亚洲另类二区| 久久热精品热| 18禁裸乳无遮挡免费网站照片| 午夜日韩欧美国产| 午夜福利在线观看免费完整高清在 | 精品久久久久久,| 成人美女网站在线观看视频| 亚洲精品在线美女| 亚洲精品粉嫩美女一区| 国产精品嫩草影院av在线观看 | 久久久精品欧美日韩精品| 欧美xxxx性猛交bbbb| av福利片在线观看| 一级毛片久久久久久久久女| 99热精品在线国产| 久久这里只有精品中国| 美女 人体艺术 gogo| 国产午夜福利久久久久久| 国产黄色小视频在线观看| 久久久久性生活片| 女同久久另类99精品国产91| 长腿黑丝高跟| 日韩欧美在线二视频| 欧美中文日本在线观看视频| 午夜福利成人在线免费观看| 麻豆一二三区av精品| av国产免费在线观看| 热99在线观看视频| 午夜影院日韩av| 日日干狠狠操夜夜爽| 人人妻人人看人人澡| 精品久久久久久,| 狂野欧美白嫩少妇大欣赏| 免费看光身美女| 天堂√8在线中文| 级片在线观看| 草草在线视频免费看| 一级av片app| 成年女人看的毛片在线观看| 日本免费a在线| 国产色爽女视频免费观看| av国产免费在线观看| 免费在线观看成人毛片| 国产精品久久久久久久电影| 午夜福利免费观看在线| 国产伦精品一区二区三区四那| 婷婷色综合大香蕉| 午夜免费激情av| 国产伦在线观看视频一区| 九色成人免费人妻av| 直男gayav资源| 中文字幕av成人在线电影| 日韩亚洲欧美综合| 日韩国内少妇激情av| 听说在线观看完整版免费高清| 日本一本二区三区精品| 国产av在哪里看| 好男人在线观看高清免费视频| 日本成人三级电影网站| 草草在线视频免费看| 听说在线观看完整版免费高清| 九色国产91popny在线| 91av网一区二区| bbb黄色大片| 九九在线视频观看精品| 成人午夜高清在线视频| 国产精品人妻久久久久久| 国产国拍精品亚洲av在线观看| 国产单亲对白刺激| av天堂在线播放| 精品熟女少妇八av免费久了| 动漫黄色视频在线观看| 欧美成人a在线观看| 黄色一级大片看看| 国产精品精品国产色婷婷| 人妻丰满熟妇av一区二区三区| 日韩欧美一区二区三区在线观看| 一级作爱视频免费观看| 国产高潮美女av| 精品久久久久久久人妻蜜臀av| 亚洲美女黄片视频| 色视频www国产| 2021天堂中文幕一二区在线观| x7x7x7水蜜桃| 人人妻,人人澡人人爽秒播| 狂野欧美白嫩少妇大欣赏| 久久热精品热| 一进一出抽搐动态| 国内少妇人妻偷人精品xxx网站| 国产真实乱freesex| 在线a可以看的网站| 欧美激情在线99| 欧美不卡视频在线免费观看| 观看美女的网站| 内射极品少妇av片p| 国产一区二区激情短视频| 午夜精品一区二区三区免费看| 国产精品一区二区三区四区久久| 日韩欧美国产在线观看| 久久久成人免费电影| 国产av一区在线观看免费| 成人毛片a级毛片在线播放| 波多野结衣高清无吗| 夜夜爽天天搞| 日本熟妇午夜| 国产精品精品国产色婷婷| 日日夜夜操网爽| 波多野结衣高清作品| 真实男女啪啪啪动态图| 美女免费视频网站| 国内精品久久久久久久电影| 黄色丝袜av网址大全| 久久久久久久久久成人| 丰满乱子伦码专区| 观看免费一级毛片| 男女下面进入的视频免费午夜| 成年女人毛片免费观看观看9| 国产亚洲精品综合一区在线观看| 91狼人影院| 久久人人爽人人爽人人片va | 国产综合懂色| 免费电影在线观看免费观看| 国产综合懂色| www.色视频.com| 国产久久久一区二区三区| 草草在线视频免费看| 精品人妻熟女av久视频| 人妻久久中文字幕网| 国产一级毛片七仙女欲春2| 久久6这里有精品| 国产精品乱码一区二三区的特点| 国产精品自产拍在线观看55亚洲| 在线播放无遮挡| 国产精品精品国产色婷婷| 午夜免费男女啪啪视频观看 | 老司机福利观看| 欧美绝顶高潮抽搐喷水| 一个人免费在线观看电影| 婷婷亚洲欧美| 性色avwww在线观看| 三级国产精品欧美在线观看| 亚洲人成电影免费在线| 日韩精品青青久久久久久| 亚洲一区高清亚洲精品| 少妇人妻一区二区三区视频| 欧美3d第一页| 亚洲美女黄片视频| 首页视频小说图片口味搜索| 神马国产精品三级电影在线观看| 一级黄片播放器| 亚洲av成人不卡在线观看播放网| 国内精品久久久久久久电影| 久久人人精品亚洲av| 如何舔出高潮| 九九久久精品国产亚洲av麻豆| 中文在线观看免费www的网站| 男女床上黄色一级片免费看| 可以在线观看毛片的网站| 女生性感内裤真人,穿戴方法视频| 久久久久久久久中文| 一个人免费在线观看的高清视频| 欧美激情国产日韩精品一区| 51午夜福利影视在线观看| 搞女人的毛片| 少妇裸体淫交视频免费看高清| 757午夜福利合集在线观看| 69av精品久久久久久| 婷婷精品国产亚洲av| 99riav亚洲国产免费| 两个人的视频大全免费| 久99久视频精品免费| 波多野结衣高清无吗| 又爽又黄无遮挡网站| 国内揄拍国产精品人妻在线| 乱码一卡2卡4卡精品| 国产黄a三级三级三级人| 少妇的逼水好多| 久久久精品欧美日韩精品| 99国产精品一区二区三区| 他把我摸到了高潮在线观看| 51午夜福利影视在线观看| 在线播放无遮挡| 国内毛片毛片毛片毛片毛片| 757午夜福利合集在线观看| 亚洲五月天丁香| 精品福利观看| 男插女下体视频免费在线播放| 女同久久另类99精品国产91| 日本一二三区视频观看| 日韩免费av在线播放| 美女高潮的动态| 国产高清激情床上av| 老师上课跳d突然被开到最大视频 久久午夜综合久久蜜桃 | 国产一区二区在线av高清观看| 亚洲午夜理论影院| av视频在线观看入口| 女同久久另类99精品国产91| 麻豆成人午夜福利视频| 日本与韩国留学比较| 亚洲不卡免费看| 亚洲熟妇中文字幕五十中出| 9191精品国产免费久久| 91久久精品国产一区二区成人| 国产精品久久久久久久电影| 国产成人aa在线观看| 亚洲国产精品sss在线观看| 99热这里只有精品一区| 亚洲国产欧洲综合997久久,| 小蜜桃在线观看免费完整版高清| 男女之事视频高清在线观看| 国产精品亚洲一级av第二区| 能在线免费观看的黄片| av国产免费在线观看| 精品久久久久久久久久免费视频| 国产亚洲欧美在线一区二区| 国产午夜精品论理片| 欧美成狂野欧美在线观看| 国产高清激情床上av| 国产成+人综合+亚洲专区| 欧美色视频一区免费| 精品国产三级普通话版| 欧美日韩国产亚洲二区| av女优亚洲男人天堂| 欧美午夜高清在线|