Intelligent REST API Data Fuzzing

已于 2023-02-20 17:41:45 修改
阅读量350 收藏
点赞数
分类专栏: 论文 文章标签: restful rest api fuzzing 测试
于 2021-12-02 22:28:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNwzl/article/details/121688081
版权

智能rest api数据fuzzing

www.fireknight.tech 个人博客,欢迎访问,CSDN不定期更新

  • 要点:fuzzing,REST API,测试

  • 总结

    • 智能生成rest请求的有效负载

    • 生成方法

        1. schema fuzzing规则
        2. fuzzing 规则的组合方法
        3. 搜索方法(对请求body每个值fuzzing的顺序)
        4. 从swagger、响应、example中提取数据值

    • 评估标准:某种fuzzing方法能出发error的类型数量,数量越多,越有效

  • Intro

    • fuzzing: automatic test generation and execution with the goal of finding security vulnerabilities.

    • 目的:评估多种fuzzing技术(对rest api请求的fuzzing)

  • Background

    • 这篇文章研究了如何fuzzing有状态的rest API, (尤其相对于RESTler而言)。通过智能fuzzing,生成更复杂的数据,找到更多的服务器错误

  • Schema Fuzzing - 最基本的表单fuzzing

    • fuzzing规则 – 对请求body tree的fuzzing

      • Node fuzzing rules

        • Drop
        • Select
        • Duplicate
        • Type

      • Tree fuzzing 规则

        • single: fuzzing一个节点
        • path:选一条路径fuzzing
        • all

    • 实验

      • 实验评估

        • 错误信息

          • error code
          • error message
          • error type = code+message

      • 实验设置

        • 实验了以上12种组合,4个node*3个tree规则
        • 每条请求有最多1000个fuzzing点 | 一个请求最多fuzzing 1000次

    • 结果

      • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NXTIJZGO-1638455202588)(assets/image-20211202211920-e9p52ps.png)]
      • 对于 drop和select而言,path比随机更好,随机会空间爆炸,path效率更高
      • type和duplicate都可能引起反序列化错误
      • 每种fuzzing都有自己发现的独有错误
      • path最合适来fuzzing,不引入反序列化错误且有效率

  • Combining Schema Fuzzing Rules – fuzzing结合规则

    • 基本规则

      • 依次使用drop、select、duplicate、type对tree节点依次fuzzing,drop出结果后,再使用select对结果fuzzing,…

    • 组合:四选二、四选三、四选四

    • fuzzing次序

      • BFS
      • DFS
      • Random

    • 结论

      • drop、select、type结合是很有效的,尤其是drop、select在type前fuzzing
      • duplicate没什么用
      • RD最有效

  • Data Value Rendering - 根据数据值fuzzing

    • 当前challenges:无效值会被拒绝,例如global却填入europ

      • 缺少客户端信息,例如ID、group name
      • 缺少domain信息,例如local、global字段或者时间
      • 缺少运行时依赖信息,后一个请求依赖于前一个

    • 信息来源(rendering策略)

      • 静态 type-value 字典

      • 从swagger提取的样例

      • 从响应中匹配字段

        • 两种匹配策略:conservative(父节点和当前节点类型相同),aggressive(当前节点类型相同)

    • render策略

      • Baseline (BAS): 字典中选择
      • Examples only (EXM): example选择,然后字典选择
      • Responses only (conservative) (CON):保守模式选择,然后字典选择
      • Responses only (aggressive) (AGG):aggressive选择,然后…
      • Responses (conservative) and examples (CON+EXM)
      • Responses (aggressive) and examples (AGG+EXM)

    • 结论

      • swagger样例能带来更多的错误类型覆盖
      • 为叶子结点使用响应值fuzzing可以显著提高效果,尤其是激进模式

  • BUG HUNTING IN CLOUD SERVICES - 对云服务器的实验

    • 实验参数设置

      • Each phase has a budget of 10 times the number of nodes in the schema

  • 相关工作

  • 讨论

FireKnight_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rest-api-fuzz-testingREST API模糊测试(RAFT):为Azure开发的自托管服务的源代码,包括API,业务流程引擎和默认的安全工具集(包括MSR的RESTler),使开发人员能够将安全工具嵌入其CICD工作流程
02-05
REST API模糊测试(RAFT) 一个自托管的REST API Fuzzing即服务平台 RAFT使用多个并行的模糊测试器,可以轻松进行REST API的模糊测试。 使用嵌入到CI / CD管道中的单个命令行,开发人员可以针对其服务启动模糊测试作业。 RAFT当前支持以下Swagger / OpenAPI工具 工具 描述 RAFT与此Microsoft Research工具具有一流的集成,这是第一个有状态的模糊测试工具,旨在自动测试由swagger / OpenApi规范驱动的REST API。 RAFT支持ZAP提供的Swagger / OpenAPI扫描功能 RAFT支持Dredd
FUZZ工具—Boofuzz框架
samli的博客
06-25 909
Boofuzz是一个基于著名的Sulley模糊测试框架的分支和继承者。除了修复了许多bug,Boofuzz还致力于扩展性。其目标是:fuzz everything
使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘
个人笔记
04-01 3376
honggfuzz 是由 google 开发的一款基于代码覆盖率的 fuzzer,与 afl、libfuzzer 并驾齐驱。 项目 Honggfuzz 项目地址 https://github.com/google/honggfuzz 开发者 Google 是否更新 不断更新 honggfuzz 特性 多进程和多线程,因此 fuzz 速度非常快 支持持久性 fuzz(P...
软件测试漏洞检查工具Fuzzing
移动互联网改变生活,高效配对交易创造财富
05-14 1985
利用漏洞检查工具,发送数据到组件,或对指定格式进行填充,完成数以万计的检查任务,来帮助我们发现软件中不期望有的漏洞的行为。 Fuzzing是一种基于缺陷注入的自动软件测试技术。通过编写fuzzer工具向目标程序提供某种形式的输入并观察其响应来发现问题,这种输入可以是完全随机的或精心构造的。Fuzzing测试通常以大小相关的部分、字符串、标志字符串开始或结束的二进制块等为重点,使用边界值附近的值对目...
网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结(上)
漏洞战争
05-31 4706
注:本文由ChatGPT与Claude联合生成总结根据USENIX Security '23 秋季论文信息总结如下:一、研究方向热门方向:1.对抗性机器学习和对抗样本。许多研究探索了如何生成对抗样本躲避检测以及如何提升模型鲁棒性。2.隐私保护和安全加强。研究通过技术手段如对称加密、同态加密等来增强模型的隐私保护能力。3.恶意软件分析和检测。使用机器学习、模糊测试等技术自动发现和分析恶意软件。冷门方...
fuzz-rest-api:将基于属性的测试快速检入到REST API的模糊器中
02-05
维基百科将Fuzzing定义为: 模糊测试或模糊测试是一种自动软件测试技术,涉及提供无效,意外或随机数据作为计算机程序的输入。 然后监视程序是否发生异常,例如崩溃,内置代码断言失败或发现潜在的内存泄漏。 该...
Fuzzing字典集fuzzing-box-master
12-17
fuzzing Web Fuzzing Box - Web 模糊测试字典与一些Payloads,主要包含:弱口令暴力破解、目录以及文件枚举、Web漏洞...
frida-fuzzer:此实验金属模糊器旨在用于API内存模糊
02-01
Frida API模糊器 v1.4版权所有(C)2020 Andrea Fioraldi 根据Apache License v2.0发布 这个实验性的模糊测试工具旨在用于API内存模糊测试。 该设计灵感来自AFL / AFL ++。 ATM增幅器非常简单,只是AFL的破坏和...
ftp fuzzing工具
05-15
支持ftp漏洞挖掘,集成ftp专用fuzzing测试用例,只需输入ip和端口
java.net cidr接口_api 接口 fuzz 测试初探
weixin_34138397的博客
02-28 376
目标在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经常还需要覆盖一些异常情况。例如:不合法字符串字符串超长应该是数字类型的,传入了字母参数为空传入了中文,标点符号等sql注入等等事实上,我们组的接口测试demo框架中,在dataprovider中也经常能够看到诸如下面的例子。@DataProvider(name = "testIllegalName")public st...
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具 安装 git clone https://github.com/smasterfree/api-fuzz.git pip install -r requirements.txt 快速开始 将curl请求体放进request.txt文件中,执行命令 python IntelliFuzzTest_cli.py request.txt 特色 支持请求身体体变异 支持请求url path变异 随机增删请求标头 支持发布/获取/删除/放入方法 可以直接根据curl命令进行变异 背景 在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经
Fuzzing_模糊测试--强制性安全漏洞发掘
07-05
目录 作者序 译者序 前 言 第一部分 第1章 安全漏洞发掘方法学 1.1 白盒测试 1.1.1 源代码评审 1.1.2 工具和自动化 1.1.3 优点和缺点 1.2 黑盒测试 1.2.1 人工测试 1.2.2 自动测试或模糊测试 1.2.3 优点和缺点 1.3 灰盒测试 1.3.1 二进制审核 1.3.2 自动化的二进制审核 1.3.3 优点和缺点 1.4 小结 1.5 脚注 第2章 什么是模糊测试 2.1 模糊测试的定义 2.2 模糊测试的历史 2.3 模糊测试阶段 2.4 模糊测试的局限性和期望 2.4.1 访问控制缺陷 2.4.2 设计逻辑不良 2.4.3 后门 2.4.4 内存破坏 2.4.5 多阶段安全漏洞 2.5 小结 第3章 模糊测试方法和模糊器类型 3.1 模糊测试方法 3.1.1 预先生成测试用例 3.1.2 随机方法 3.1.3 协议变异人工测试 3.1.4 变异或强制性测试 3.1.5 自动协议生成测试 3.2 模糊器类型 3.2.1 本地模糊器 3.2.2 远程模糊器 3.2.3 内存模糊器 3.2.4 模糊器框架 3.3 小结 第4章 数据表示和分析 4.1 什么是协议 4.2 协议域 4.3 简单文本协议 4.4 二进制协议 4.5 网络协议 4.6 文件格式 4.7 常见的协议元素 4.7.1 名字-值对 4.7.2 块标识符 4.7.3 块长度 4.7.4 校验和 4.8 小结 第5章 有效模糊测试的需求 5.1 可重现性和文档记录 5.2 可重用性 5.3 过程状态和过程深度 5.4 跟踪、代码覆盖和度量 5.5 错误检测 5.6 资源约束 5.7 小结 第二部分 第6章 自动化测试测试数据生成 6.1 自动化测试的价值 6.2 有用的工具和库 6.2.1ETHEREAL /WIRESHARK 6.2.2LIBDASM 和LIBDISASM 6.2.3LIBNET /LIBNETNT 6.2.4LIBPCAP 6.2.5METRO PACKET LIBRARY 6.2.6PTRACE 6.2.7PYTHON EXTENSIONS 6.3 编程语言的选择 6.4 测试数据生成和模糊启发式 6.4.1 整型值 6.4.2 字符串重复 6.4.3 字段分隔符 6.4.4 格式化字符串 6.4.5 字符翻译 6.4.6 目录遍历 6.5 小结 第7章 环境变量和参数的模糊测试 7.1 本地化模糊测试介绍 7.1.1 命令行参数 7.1.2 环境变量 7.2 本地化模糊测试准则 7.3 寻找目标程序 7.4 本地化模糊测试方法 7.5 枚举环境变量 7.6 自动化的环境变量测试 7.7 检测问题 7.8 小结 第8章 环境变量和参数的模糊测试:自动化 8.1 iFUZZ本地化模糊器的特性 8.2 iFUZZ的开发 8.3 iFUZZ的开发语言 8.4 实例研究 8.5 益处和改进的余地 8.6 小结 第9章 Web应用程序和服务器模糊测试 9.1 什么是Web应用程序模糊测试 9.2 目标应用 9.3 测试方法 9.3.1 建立目标环境 9.3.2 输入 9.4 漏洞 9.5 异常检测 9.6 小结 第10章 Web应用程序和服务器的模糊测试:自动化 10.1 Web应用模糊器 10.2 WebFuzz的特性 10.2.1 请求 10.2.2 模糊变量 10.2.3 响应 10.3 必要的背景知识 10.3.1 识别请求 10.3.2 漏洞检测 10.4 WebFuzz的开发 10.4.1 开发方法 10.4.2 开发语言的选择 10.4.3 设计 10.5 实例研究 10.5.1 目录遍历 10.5.2 溢出 10.5.3 SQL注入 10.5.4 XSS脚本 10.6 益处和改进的余地 10.7 小结 第11章 文件格式模糊测试 11.1 目标应用 11.2 方法 11.2.1 强制性或基于变异的模糊测试 11.2.2 智能强制性或基于生成的模糊测试 11.3 输入 11.4 漏洞 11.4.1 拒绝服务 11.4.2 整数处理问题 11.4.3 简单的栈和堆溢出 11.4.4 逻辑错误 11.4.5 格式化字符串 11.4.6 竞争条件 11.5 漏洞检测 11.6 小结 第12章 文件格式模糊测试:UNIX平台上的自动化测试 12.1 NOTSPIKEFILE和SPIKEFILE 12.2 开发方法 12.2.1 异常检测引擎 12.2.2 异常报告(异常检测) 12.2.3 核心模糊测试引擎 12.3 有意义的代码片段 12.3.1 通常感兴趣的UNIX信号 12.3.2 不太感兴趣的UNIX信号 12.4 僵死进程 12.5 使用的注意事项 12.5.1 ADOBE ACROBAT 12.5.2 REALNETWORKS REALPLAYRE 12.6 实例研究:REALPLAYER REALPIX格式化字符串漏洞 12.7 语言 12.8 小结 第13章 文件格式模糊测试:Windows平台上的自动化测试 13.1 Windows文件格式漏洞 13.2 FileFuzz的特性 13.2.1 创建文件 13.2.2 应用程序执行 13.2.3 异常检测 13.2.4 保存的审核 13.3 必要的背景知识 13.4 FileFuzz的开发 13.4.1 开发方法 13.4.2 开发语言的选择 13.4.3 设计 13.5 实例研究 13.6益处和改进的余地 13.7 小结 第14章 网络协议模糊测试 14.1 什么是网络协议模糊测试 14.2 目标应用 14.2.1APPLEGATE 14.2.2 网络层 14.2.3 传输层 14.2.4 会话层 14.2.5 表示层 14.2.6 应用层 14.3 测试方法 14.3.1强制性或基于变异的模糊测试 14.3.2 智能强制性模糊测试和基于生成的模糊测试 14.3.3 修改的客户端变异模糊测试 14.4 错误检测 14.4.1 人工方法(基于调试器) 14.4.2 自动化方法(基于代理) 14.4.3 其它方法 14.5 小结 第15章 网络协议模糊测试:UNIX平台上的自动化测试 15.1 使用SPIKE进行模糊测试 15.1.1 选择测试目标 15.1.2 协议逆向工程 15.2 SPIKE 101 15.2.1 模糊测试引擎 15.2.2 通用的基于行的TCP模糊器 15.3 基于块的协议建模 15.4 SPIKE的额外特性 15.4.1 特定于协议的模糊器 15.4.2 特定于协议的模糊测试脚本 15.4.3 通用的基于脚本的模糊器 15.5 编写SPIKE NMAP模糊器脚本 15.6 小结 第16章 网络协议模糊测试:Windows平台上的自动化测试 16.1 ProtoFuzz的特性 16.1.1 包结构 16.1.2 捕获数据 16.1.3 解析数据 16.1.4 模糊变量 16.1.5 发送数据 16.2 必要的背景知识 16.2.1 错误检测 16.2.2 协议驱动程序 16.3 ProtoFuzz的开发 16.3.1 开发语言的选择 16.3.2 包捕获库 16.3.3 设计 16.4 实例研究 16.5 益处和改进的余地 16.6 小结 第17章 Web浏览器模糊测试 17.1 什么是Web浏览器模糊测试 17.2 目标 17.3 方法 17.3.1 测试方法 17.3.2 输入 17.4 漏洞 17.5 错误检测 17.6 小结 第18章 Web浏览器的模糊测试:自动化 18.1 组件对象模型的背景知识 18.1.1 在Nutshell中的发展历史 18.1.2 对象和接口 18.1.3 ActiveX 18.2 模糊器的开发 18.2.1 枚举可加载的ActiveX控件 18.2.2 属性,方法,参数和类型 18.2.3 模糊测试和监视 18.3 小结 第19章 内存数据的模糊测试 19.1 内存数据模糊测试的概念及实施该测试的原因 19.2 必需的背景知识 19.3 究竟什么是内存数据模糊测试 19.4 目标 19.5 方法:变异循环插入 19.6 方法:快照恢复变异 19.7 测试速度和处理深度 19.8 错误检测 19.9 小结 第20章 内存数据的模糊测试:自动化 20.1 所需要的特性集 20.2 开发语言的选择 20.3 Windows调试API 20.4 将其整合在一起 20.4.1如何实现在特定点将"钩子"植入目标进程的需求 20.4.2如何来处理进程快照和恢复 20.4.3如何来选择植入钩子的点 20.4.4如何对目标内存空间进行定位和变异 20.5你的新的最好的朋友PYDBG 20.6 一个构想的示例 20.7 小结 第三部分 第21章 模糊测试框架 21.1 模糊测试框架的概念 21.2 现有框架 21.2.1 ANTIPARSER 21.2.2 DFUZ 21.2.3 SPIKE 21.2.4 PEACH 21.2.5 通用模糊器(General Purpose Fuzzer) 21.2.6 AUTODAF? 21.3 定制模糊器的实例研究:SHOCKWAVE FLASH 21.3.1 SWF文件的建模 21.3.2 生成有效的数据 21.3.3 对环境进行模糊测试 21.3.4 测试方法 21.4模糊测试框架SULLEY 21.4.1 SULLEY目录结构 21.4.2 数据表示 21.4.3 会话 21.4.4 21.4.5 一个完整的实例分析 21.5 小结 第22章 自动化协议解析 22.1 模糊测试存在的问题是什么 22.2 启发式技术 22.2.1 代理模糊测试 22.2.2 改进的代理模糊测试 22.2.3 反汇编启发式规则 22.3 生物信息学 22.4 遗传算法 22.5 小结 第23章 模糊器跟踪 23.1 我们究竟想要跟踪什么 23.2 二进制代码可视化和基本块 23.2.1 CFG 23.2.2 CFG示例 23.3 构造一个模糊器跟踪器 23.3.1 刻画目标特征 23.3.2 跟踪 23.3.3 交叉引用 23.4 对一个代码覆盖工具的分析 23.4.1 PSTALKER设计概览 23.4.2 数据源 23.4.3 数据探查 23.4.4 数据捕获 23.4.5局限性 23.4.6 数据存储 23.5 实例研究 23.5.1 测试策略 23.5.2 测试方法 23.6 益处和改进的余地 23.7 小结 第24章 智能故障检测 24.1 基本的错误检测方法 24.2 我们所要搜索的内容 24.3 选择模糊值时的注意事项 24.4 自动化的调试器监视 24.4.1 一个基本的调试器监视器 24.4.2 一个更加高级的调试器监视器 24.5 24.6 动态二进制插装 24.7 小结 第四部分 第25章 汲取的教训 25.1 软件开发生命周期 25.1.1 分析 25.1.2 设计 25.1.3 编码 25.1.4 测试 25.1.5 维护 25.1.6 在SDLC中实现模糊测试 25.2 开发者 25.3 QA研究者 25.4 安全问题研究者 25.5 小结 第26章 展望 26.1 商业工具 26.1.1 安全性测试工具beSTORM 26.1.2 BREAKINGPOINT系统BPS-1000 26.1.3 CODENOMICON 26.1.4 GLEG PROTOVER PROFESSIONAL 26.1.5 安全性测试工具MU-4000 26.1.6 SECURITY INNOVATION HOLODECK 26.2 发现漏洞的混合方法 26.3 集成的测试平台 26.4 小结
python模糊集合_REST-ler: 自动化智能REST API模糊测试
weixin_39624071的博客
01-13 542
论文摘要:随着Amazon Web Services和Microsoft Azure的出现,云服务在最近的几年中增长迅速。大多数云服务,不管是SaaS,PaaS还是IaaS,都是通过REST API访问的,而Swagger可以说是最受欢迎的REST API描述语言。通过REST API自动测试云服务并检查这些服务是否可靠和安全的工具仍处于起步阶段。本文介绍了一个自动化智能REST API安全测试工...
【Web安全笔记】之【9.0 工具与资源】
AA8j的博客
12-23 2956
9.0 工具与资源 9.1 推荐资源 9.1.1 书单 1. 前端 Web之困 白帽子讲Web安全 白帽子讲浏览器安全(钱文祥) Web前端黑客技术揭秘 XSS跨站脚本攻击剖析与防御 SQL注入攻击与防御 2. 网络 Understanding linux network internals TCP/IP Architecture, Design, and Implementation in Linux Linux Kernel Networking: Implementation and Theor
Fuzzing技术总结(Brief Surveys on Fuzz Testing)- wcventure
热门推荐
wcventure的博客
08-26 3万+
Fuzzing survey Static analysis Dynamic analysis Symbolic execution Fuzzing White box fuzzing Grey box fuzzing Black box fuzzing Generation-based Fuzzing Mutation-based Fuzzing Fuzzing技术的对比 F...
Fuzzing测试框架
syh_486_007的专栏
02-18 2832
名称 简介 地址 备注 Sulley http://www.fuzzing.org/wp-content/Sulley%20Fuzzing%20Framework.exe Python的fuzzing框架,包括进程监视、网络监视、虚拟机控制 SPIKE SPIKE is an attempt to wr
fuzzing是什么
weixin_34095889的博客
11-27 2405
一、说明 大学时两个涉及“模糊”的概念自己感觉很模糊。一个是学数据库出现的“模糊查询”,后来逐渐明白是指sql的like语句;另一个是学专业课时出现的“模糊测试”。 概念是懂的,不外乎是“模糊测试是一种软件测试技术,其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏”。 这种定义也许很准确,但对没接触过...
Fuzzing及Sulley简介
BigYellow
11-05 5888
模糊测试Fuzzing)1、泛化定义:Fuzzing是一种软件漏洞检测技术,通过提供非预期的、随机的或者错误的数据作为输入来检测软件漏洞,在软件出现崩溃时监视异常结果来找出其存在的潜在漏洞。2、类比理解可以将模糊测试类比为如何闯进一幢房子。为了破门进入某人的家,假设采用纯白盒的方法,那么在实施破门之前应该能够得到对所有关于这个家的充分信息。这些信息可能要包括房屋设计图、各种锁的制造商列表、房屋建筑
AngularJS 的生命周期和基础语法
最新发布
GeGe&YoYo的博客
04-29 1019
ngAfterViewInit()和每次ngAfterContentChecked()之后调用,只适合组件。ngAfterContentInit()和每次ngDoCheck()之后调用,只适用于组件。第一次ngAfterContentChecked()之后调用,只调用一次,只适合组件。用于执行需要在组件内容初始化后执行的逻辑。第一次ngDoCheck()之后调用,只调用一次,只适用于组件。在第一轮 ngOnchanges()完成之后调用,只调用一次。在每次 Angular 完成对组件视图的检查之后调用。
fuzzing 101
04-28
Fuzzing是一种软件测试方法,旨在发现漏洞和缺陷。它使用自动生成的或随机的输入数据来测试程序的稳定性和安全性。Fuzzing 是一步步完成的,通过分析可追踪分析的数据整合并在一起来进行分析,是一种发现程序漏洞的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值