自动修复360代码卫士扫描出来的日志伪造和删除main方法

最新推荐文章于 2023-08-18 21:41:35 发布
最新推荐文章于 2023-08-18 21:41:35 发布
阅读量1.7k 收藏 3
点赞数
文章标签: 日志伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/musuny/article/details/102961230
版权

项目经过360代码卫士扫描以后或多或少有些漏洞,既然公司要求扫描,那就会要求修复,进入正题,如文章标题,本篇文章主要涉及一个jar包工具,功能主要实现如下功能:

  1. 解决项目中360扫描出来的【输入验证》日志伪造】漏洞

    解决前:

    logger.debug(“xxxxx”+message);

    解决后:

    String logDebugStr = StringEscapeUtils.escapeEcmaScript(“xxxxx”+message);
    logger.debug(logDebugStr);

    解决代码包括:logger.info logger.error logger.debug logger.trace ,日志输出内容包括字符串,对象,堆栈信息

  2. 删除项目中java类中的main方法,main方法被360扫描为低级》遗留调试代码

小项目或者比较规范的项目可能这种问题会比较少,可以手工修改,但如果老项目或者开发人员比较多,规范性不够好,这种漏洞可能就非常的多,这种漏洞可分布在360代码卫士的高级、中级、低级漏洞中。下面贴上jar包源码

readme.txt

该文件为jar使用说明

-------------------------------------------------------------------------------------------------------------------
功能:
    1.解决项目中360扫描出来的【输入验证》日志伪造】漏洞

      解决前:   logger.debug("xxxxx"+message);
      解决前:   String logDebugStr = StringEscapeUtils.escapeEcmaScript("xxxxx"+message);
                logger.debug(logDebugStr);
      解决代码包括:logger.info  logger.error  logger.debug logger.trace ,日志输出内容包括字符串,对象,堆栈信息
    2.删除项目中java类中的main方法,改方法被360扫描为低级》遗留调试代码
操作步骤:
    1.修改security.properties配置文件,根据提示配置
    2.点击run.bat运行
    3.查看log.txt查看处理结果
-------------------------------------------------------------------------------------------------------------------

security.properties

该配置文件是jar使用的核心配置文件,配置项都有说明

#项目绝对路径,例如E:/workspace/BDC
project.dir=E:\\workspace\\BDC\\rt_plt\\java\\com\\zhuxl\\sims\\rtplt\\component\\alarm\\service
#1:日志伪造处理,2:删除main方法
operation=1
#源文件编码格式【gbk|utf-8】
file.encoding=gbk
#全局日志变量名称,例如logger或LOGGER
logger.variable.name=LOGGER
#要处理的日志输出级别,【info|debug|error|trace|warn】
logger.level=debug
#不处理的日志输出行所包含的关键字符串,为了避免重复处理以及有些不需要处理
logger.skip.content=logEscapedStr

Main.java

jar包入口方法,读取配置security.properties,按照配置来执行日志伪造或者删除main的动作

package com.zhuxl.bdc.security;

import com.zhuxl.bdc.security.result.HandleResult;
import com.zhuxl.bdc.security.tool.DeleteMainTool;
import com.zhuxl.bdc.security.tool.LoggerEscapeTool;
import org.apache.commons.lang3.StringUtils;

import java.io.*;
import java.util.Properties;

/**
 * @author zhuxiaolong
 */
public class Main {

    public static void main(String[] args) throws FileNotFoundException {
        Properties prop = new Properties();
        InputStream is = new FileInputStream("security.properties");
        try {
            prop.load(is);
        } catch (IOException e) {
            e.printStackTrace();
        }

        String projectPath = prop.getProperty("project.dir");
        File project = new File(projectPath);
        if (!project.exists()) {
            throw new RuntimeException("配置的项目路径不存在" + projectPath);
        } else {
            System.out.println("配置项目路径:" + projectPath);
        }

        String operation = prop.getProperty("operation");
        if (!StringUtils.equalsAny(operation, "1", "2")) {
            throw new RuntimeException("配置的操作类型有误,正确的为1或2,实际配置" + operation);
        } else {
            System.out.println("配置的操作类型:" + operation);
        }
        String encoding = prop.getProperty("file.encoding");
        if (!StringUtils.equalsAny(encoding, "gbk", "utf-8")) {
            throw new RuntimeException("配置的操作类型有误,正确的为gbk或utf-8,实际配置" + encoding);
        } else {
            System.out.println("配置的文件编码格式:" + encoding);
        }

        HandleResult handleResult = null;
        switch (operation) {
            case "1":
                String loggerName = prop.getProperty("logger.variable.name");
                System.out.println("配置的日志变量名" + loggerName);
                String level = prop.getProperty("logger.level");
                if (!StringUtils.equalsAny(level, "info", "debug", "error", "trace")) {
                    throw new RuntimeException("配置的日志输出级别有误,正确的配置项info/debug/error/trace,实际配置" + level);
                } else {
                    System.out.println("配置的日志输出级别" + level);
                }
                String skipContent = prop.getProperty("logger.skip.content");
                handleResult = Executor.exe(project, LoggerEscapeTool.class, loggerName, level, encoding, skipContent);
                break;
            case "2":
                handleResult = Executor.exe(project, DeleteMainTool.class, encoding);
                break;
            default:
                System.out.println("错误的指令");
        }

        System.out.println("------------------------------------------------------------------------");
        System.out.println("   处理成功,处理java文件个数" + handleResult.getFileCount());
        System.out.println("           处理日志伪造记录" + handleResult.getRecordCount());
        System.out.println("------------------------------------------------------------------------");
    }
}

HandleResult.java

该类为处理结果统计信息

package com.zhuxl.bdc.security.result;

import lombok.Data;

/**
 * @author zhuxiaolong
 */
@Data
public class HandleResult {

    private Integer fileCount;

    private Integer recordCount;

    public HandleResult() {
        this.fileCount = 0;
        this.recordCount = 0;
    }
}

CallbackFileHandler.java

抽象类回调函数,提供一个处理单个文件的抽象方法,用于日志伪造和删除main的具体实现类扩展

package com.zhuxl.bdc.security.func;

import com.zhuxl.bdc.security.result.HandleResult;
import lombok.Getter;

import java.io.File;


/**
 * @author zhuxiaolong
 */
@Getter
public abstract class CallbackFileHandler {
    protected HandleResult handleResult = new HandleResult();

    public void handleFile(File file, String... cmd) {
        if (file.isDirectory()) {
            File[] files = file.listFiles();
            for (File f : files) {
                handleFile(f, cmd);
            }
        } else {
            String fileName = file.getName();
            if (fileName.contains(".")) {
                String extendName = fileName.substring(fileName.lastIndexOf(".") + 1);
                if ("java".equals(extendName)) {
                    // java文件
                    // 处理文件,处理单个java文件内容中logger.debug
                    handleSingleFile(file, cmd);
                }
            }
        }

    }

    /**
     * 处理单个文件
     *
     * @param file 处理文件
     * @param cmd  处理文件时的额外参数
     */
    protected abstract void handleSingleFile(File file, String... cmd);
}

Executor.java

执行器,创建一个处理文件的实例,执行处理文件的具体逻辑并返回处理统计信息

package com.zhuxl.bdc.security;

import com.zhuxl.bdc.security.func.CallbackFileHandler;
import com.zhuxl.bdc.security.result.HandleResult;

import java.io.File;

/**
 * @author zhuxiaolong
 */
public class Executor {

    public static HandleResult exe(File file, Class<? extends CallbackFileHandler> clazz, String... cmd) {
        try {
            CallbackFileHandler handler = clazz.newInstance();
            handler.handleFile(file, cmd);
            return handler.getHandleResult();
        } catch (InstantiationException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
        throw new RuntimeException("处理失败");
    }
}

LoggerEscapeTool.java

日志伪造处理实现类,主要是通过common-lang3StringEscapeUtils.escapeEcmaScript()方法进行转义,解决360扫描出的日志伪造漏洞

package com.zhuxl.bdc.security.tool;

import com.zhuxl.bdc.security.util.StreamUtils;
import com.zhuxl.bdc.security.func.CallbackFileHandler;

import java.io.*;


/**
 * @author zhuxiaolong
 */
public class LoggerEscapeTool extends CallbackFileHandler {

    @Override
    public void handleSingleFile(File file, String... cmd) {
        if (cmd.length != 4) {
            throw new RuntimeException("输入的指令有误");
        }
        handleResult.setFileCount(handleResult.getFileCount()+1);
        final String prefix = cmd[0] + "." + cmd[1] + "(";
        BufferedReader reader = null;
        BufferedWriter writer = null;
        InputStreamReader inputStreamReader = null;
        FileInputStream fileInputStream = null;
        OutputStreamWriter outputStreamWriter = null;
        FileOutputStream fileOutputStream = null;
        try {
            fileInputStream = new FileInputStream(file);
            inputStreamReader = new InputStreamReader(fileInputStream, cmd[2]);
            reader = new BufferedReader(inputStreamReader);

            StringBuilder content = new StringBuilder();
            String line;
            int lineNumber = 0;
            while ((line = reader.readLine()) != null) {
                lineNumber++;

                String templine = line.trim();
                final String suffix = ");";
                final String suffixE = ", e);";
                final String logSuffix;
                if (templine.startsWith(prefix) && templine.endsWith(suffix) && !templine.contains(cmd[3])) {
                    // 去掉左右空白,如果以logger.debug(开头,以);结尾,视为打印日志的语句
                    String logContent = templine.substring(prefix.length(), templine.lastIndexOf(suffix));

                    String leftEmpty = line.substring(0, line.indexOf(prefix));
                    String logNewContent;
                    if (templine.endsWith(suffixE)) {
                        // 打印的是包含堆栈信息的日志
                        logContent = templine.substring(prefix.length(), templine.lastIndexOf(suffixE));
                        logSuffix = suffixE;
                    } else {
                        // 打印的是普通日志信息
                        logSuffix = suffix;
                    }
                    logNewContent = new StringBuilder()
                            .append(leftEmpty).append("String logEscapedStr").append(lineNumber)
                            .append(" = ")
                            .append("StringEscapeUtils.escapeEcmaScript(\"\"+").append(logContent).append(");\n")
                            .append(leftEmpty).append(cmd[0]).append(".").append(cmd[1]).append("(logEscapedStr").append(lineNumber).append(logSuffix)
                            .toString();
                    lineNumber++;
                    content.append(logNewContent).append("\n");
                    handleResult.setRecordCount(handleResult.getRecordCount()+1);
                } else {
                    if (line.trim().startsWith("package com")) {
                        content.append(line).append("\n")
                                .append("import org.apache.commons.lang3.StringEscapeUtils;").append("\n");
                        lineNumber++;
                    } else {
                        content.append(line).append("\n");
                    }
                }
            }
            fileOutputStream = new FileOutputStream(file);
            outputStreamWriter = new OutputStreamWriter(fileOutputStream, cmd[2]);
            writer = new BufferedWriter(outputStreamWriter);
            // 写入
            writer.write(content.toString());
            writer.flush();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            StreamUtils.close(reader);
            StreamUtils.close(writer);
            StreamUtils.close(fileInputStream);
            StreamUtils.close(inputStreamReader);
            StreamUtils.close(fileOutputStream);
            StreamUtils.close(outputStreamWriter);
        }
    }


}

DeleteMainTool.java

删除main方法的具体实现类,注意:本方法有弊端,比如main方法内有注释,注释内有不成对的{}出现,可能会造成删除混乱,不过这种情况一般很少。

package com.zhuxl.bdc.security.tool;

import com.zhuxl.bdc.security.util.StreamUtils;
import com.zhuxl.bdc.security.func.CallbackFileHandler;

import java.io.*;


/**
 * @author zhuxiaolong
 */
public class DeleteMainTool extends CallbackFileHandler {

    @Override
    public void handleSingleFile(File file, String... cmd) {
        handleResult.setFileCount(handleResult.getFileCount() + 1);
        if (cmd.length != 1) {
            throw new RuntimeException("配置的参数有误");
        }
        BufferedReader reader = null;
        BufferedWriter writer = null;
        InputStreamReader inputStreamReader = null;
        FileInputStream fileInputStream = null;
        OutputStreamWriter outputStreamWriter = null;
        FileOutputStream fileOutputStream = null;
        try {
            fileInputStream = new FileInputStream(file);
            inputStreamReader = new InputStreamReader(fileInputStream, cmd[0]);
            reader = new BufferedReader(inputStreamReader);

            StringBuilder content = new StringBuilder();
            String line;
            while ((line = reader.readLine()) != null) {
                content.append(line).append("\n");
            }

            String con = delMainMethod(content.toString());
            handleResult.setRecordCount(handleResult.getRecordCount() + 1);

            fileOutputStream = new FileOutputStream(file);
            outputStreamWriter = new OutputStreamWriter(fileOutputStream, cmd[0]);
            writer = new BufferedWriter(outputStreamWriter);
            // 写入
            writer.write(con);
            writer.flush();

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            StreamUtils.close(reader);
            StreamUtils.close(writer);
            StreamUtils.close(fileInputStream);
            StreamUtils.close(inputStreamReader);
            StreamUtils.close(fileOutputStream);
            StreamUtils.close(outputStreamWriter);
        }
    }


    public String delMainMethod(String content) {
        int publicStart = -1, mainStart = -1;
        int checkStart = -1;
        String tmp = null, tmp2 = null;
        mainStart = content.lastIndexOf("main");
        String tmpContent = new String(content);
        // 得到真正的main方法
        while ((mainStart = tmpContent.lastIndexOf("main")) != -1) {
            tmp2 = new String(tmpContent.substring(mainStart));
            checkStart = tmp2.indexOf(")");
            tmp2 = new String(tmpContent.substring(mainStart - 1, mainStart
                    + checkStart + 1));
            tmp2 = tmp2.replaceAll("#_end_#", "\n");
            tmp2 = tmp2.replaceAll("\\n", "");
            tmp2 = tmp2.replaceAll("\\s+", "");
            if (tmp2.startsWith("main(String") && (tmp2.indexOf(",") == -1)) {
                break;
            }
            tmpContent = new String(tmpContent.substring(0, mainStart));
        }
        if (mainStart != -1) {
            tmp = new String(content.substring(0, mainStart));
            // 得到main方法的开始位置
            publicStart = tmp.lastIndexOf("public");
        }
        if (publicStart != -1) {
            tmp = new String(content.substring(mainStart));
        }
        if (tmp == null) {
            // 去掉多余空白行
            content = content.replaceAll("#_end_#", "\r\n");
            content = content.replaceAll("\\s{2,}\\r\\n", "\r\n");
            return content;
        }
        // 得到main方法的结束位置
        char[] tmpChar = tmp.toCharArray();
        int bracketStart = 0, bracketEnd = 0;
        for (int i = 0, len = tmpChar.length; i < len; i++) {
            if (tmpChar[i] == '{') {
                bracketStart++;
            } else if (tmpChar[i] == '}') {
                bracketEnd = i;
                bracketStart--;
            }
            if (i != 0 && bracketStart == 0 && bracketEnd != 0) {
                break;
            }
        }
        StringBuffer contentBuffer = new StringBuffer(5120);
        // 截取字符串
        contentBuffer.append(content.substring(0, publicStart)).append(
                content.substring(mainStart + bracketEnd + 1));
        content = null;
        content = contentBuffer.toString();
        // 去掉多余空白行
        content = content.replaceAll("#_end_#", "\r\n");
        content = content.replaceAll("\\s{2,}\\r\\n", "\r\n");
        return content;
    }

    public String getFileContent(String fileName, String chartSet)
            throws Exception {
        if (chartSet == null) {
            chartSet = "utf-8";
        }
        StringBuffer buffer = new StringBuffer(5120);
        String line = null;
        InputStream is = new FileInputStream(fileName);
        BufferedReader reader = new BufferedReader(new InputStreamReader(is,
                chartSet));
        while ((line = reader.readLine()) != null) {
            buffer.append(line).append("#_end_#");
        }
        return buffer.toString();
    }

    public void writeStrToFile(String str, String filePath, String charsetName)
            throws Exception {
        if (charsetName == null) {
            charsetName = "utf-8";
        }
        OutputStreamWriter out = new OutputStreamWriter(new FileOutputStream(
                filePath), charsetName);
        out.write(str);
        out.close();
    }


}
羽轩GM
关注
一个很好用的静态代码扫描工具 360FireLine
qq_15264049的博客
09-22 7314
一个很好用的静态代码扫描工具 360FireLine静态代码扫描工具有很多,Android Studio 自带的Lint,FindBugs,前两者生成的测试结果报告都是英文版的,对于英文不好的童鞋们来说简直就是煎熬,甚至失去了去追究bug的耐性;但是360作为国内的技术大厂,搞出来这个很好用的工具,生成的结果报告当然是中文了,这些工具bug定位都很准确,帮你把问题定位到某一行,并给出问题描述,空指针
js仿360安全卫士弹窗代码
04-25
这个“js仿360安全卫士弹窗代码”项目就是一个实例,它通过JSON数据结构来实现这样的效果。下面将详细解释相关知识点。 1. **JSON(JavaScript Object Notation)**: JSON是一种轻量级的数据交换格式,易于人阅读...
[windows安全设置]windows日志的保护与伪造
ChneChen的Blog
02-19 2174
(转载自:http://www.xfocus.net/articles/200208/435.html)日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。一:概述:Windows2000的系统日志文件有应用
Springboot项目中解决日志伪造笔记
qq_53121751的博客
09-03 994
Springboot项目中解决日志伪造笔记
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 2065
CWE-117日志伪造漏洞 1.日志伪造日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件中插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
【web漏洞百例】1.日志伪造、堆检查
热门推荐
程序猿之洞
03-16 1万+
一、日志伪造(Log Forging) 描述: 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 举例: 在以下情况或发生“日志伪造”的漏洞: 1.数据从一个不可信的数据源进入应用程序 2.数据写入到应用程序或系统日志文件中 为了便于以后的审阅、统计数据或调试,应用程序通常使用日志文件来存储事务的历史记录。根据 应用程序自身的特性,审阅日志
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
360安全卫士界面模仿源码 X360SecurityGuardsInterface.rar
10-15
360安全卫士界面模仿源码 源码描述: ... 一款模仿360安全卫士的界面源码,基于winform开发,自定义界面和皮肤,有需要的朋友不要错过 二、注意事项 开发环境为Visual Studio 2013,使用.net 4.0开发。
安卓动画效果相关-仿360手机卫士扫描的圆形旋转框动画-自定义Drawable.zip
07-29
这个压缩包"安卓动画效果相关-仿360手机卫士扫描的圆形旋转框动画-自定义Drawable.zip"显然是关于实现一个模仿360手机卫士扫描动画,该动画通常表现为一个圆形边框持续旋转,给人一种正在处理数据或扫描系统的视觉...
学习日记-漏洞扫描
最新发布
qq_45849014的博客
08-18 387
1.PHPstudy,小皮面板。
spring-boot日志框架漏洞修复
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
08-12 509
Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL。格式化输出:%date表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度 %msg:日志消息,%n是换行符。低于2.6.2的版本都存在log4j注入漏洞。输出控制台日志的配置。...
SpringBoot项目中解决Fortify漏洞Log Forging日志伪造
riemann_的博客
06-22 5515
一、例子 下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。 String val = request.getParameter("val"); try {   int value = Integer.parseInt(val); }catch (NumberFormatException nfe) {...
避免日志伪造漏洞_如何以编程方式伪造您的位置并避免被公司跟踪
weixin_26638123的博客
08-25 772
避免日志伪造漏洞In the Navigine team, we’ve been providing indoor and outdoor positioning mobile technologies that enable advanced indoor navigation and proximity solutions for eight years. 在Navigine团队中,我们提供室...
基于开源软件打造EB级大数据平台-360大会-专题视频课程
October2016的博客
05-30 219
首届360开源大会不仅邀请10多位360内部技术讲师,还特邀Apache基金会副总裁、触控未来CEO、华为和Intel等多位开源讲师共聚大会,畅聊开源!
360代码卫士扫描_神经卫士如何建立其X射线ct扫描AI生产线
weixin_26713457的博客
10-12 308
360代码卫士扫描实例探究(CASE STUDIES) Neural Guard produces automated threat detection solutions powered by AI for the security screening market. With the expansion of global trends like urbanization, aviation,...
一篇文章教会你通过专业的角度去代码审计DVWA及修复方法
weixin_62369433的博客
04-12 439
在这个数字化时代,安全已经成为最重要的关键词之一。对于开发人员和安全专业人员来说,代码审计是确保应用程序和服务安全性的一项重要任务。通过审计,可以发现并修复各种类型的漏洞,包括 SQL 注入、XSS、CSRF、文件上传漏洞等。愿你们在代码审计的道路上勇往直前,不断学习和探索,找到应用程序中的所有漏洞,并将其修复,为我们的数字世界带来更加安全可靠的服务。
360在线检测(填完代码检测完建议删除
liNewman的博客
12-07 513
360在线检测(填完代码检测完建议删除) 是否准度先不说。 360在线检测(填完代码检测完建议删除)。 填完代码完整会显示360检测 图标,但是据说影响SEO以及360回连接数据库如果网站更新 容易导致网站不能访问。 http://webscan.360.cn/ ------------------------------------...
[20][03][71] Log Forging
安全新司机
12-20 1875
文章目录1. 描述2. 复现问题3. 修复方案 1. 描述 Log Forging 是日志伪造漏洞 在日常开发中为了便于调试和查看问题,需要通过日志来记录信息,java 中常见的日志组件 log4j, logback 等 查看日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息,如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读 如果日志文件是自动处理的,那么攻击者就可以通过破坏文件格式或注入意外的字符,从而使文件无
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羽轩GM

您的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值