Web API 漏洞介绍(一)

最新推荐文章于 2024-04-25 13:31:59 发布
最新推荐文章于 2024-04-25 13:31:59 发布
阅读量1.3k 收藏 32
点赞数 23
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44217321/article/details/136031529
版权

基础概念

Web API是指用于Web服务器或Web浏览器的应用程序编程接口(API)。作为一个Web开发概念,它可以与Web应用程序的客户端(包括正在使用的任何Web框架)相关。服务器端Web API由一个或多个公开暴露的端点组成,该端点指向已定义的请求响应消息系统,通常通过基于HTTP的Web服务器以JSON或XML表示。

Web API可以粗略的分为客户端Web API和服务器端Web API两种,其中客户端API是用于扩展Web浏览器或其他HTTP客户端中的功能,而服务器端API是基于HTTP的Web服务器公开的指向已定义的请求-响应消息系统的接口,本文主要介绍的就是基于服务器端Web API漏洞挖掘手法。

什么是API漏洞

API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、未授权访问,甚至系统崩溃。

根据OWASP统计,2023年十大API安全漏洞如下:

漏洞名称
对象级授权被破坏(Broken Object Level Authorization)
破损的用户身份验证(Broken User Authentication)
破碎对象属性级授权(Broken Object Property Level Authorization)
资源消耗不受限制(Unrestricted Resource Consumption)
功能级别授权被破坏(Broken Function Level Authorization)
不受限制地访问敏感业务流程(Unrestricted Access to Sensitive Business Flows)
服务器端请求伪造(Server Side Request Forgery)
安全配置错误(Security Misconfiguration)
库存管理不当(Improper Inventory Management)
API的不安全组合(Unsafe Composition of APIs)

API漏洞介绍

对象级授权被破坏

对象级授权被破坏(BOLA),当API根据用户角色提供对数据的访问权限,但无法验证用户是否有权访问这些数据时,就会产生漏洞。通过此漏洞,攻击者可以绕过授权访问敏感数据甚至执行未经授权的操作。

示例

BOLA漏洞如何发现呢,一般情况下我们可以从网站的某些查询功能入手。例如在某个网站的个人中心中,用户想查看自己的个人资料,那么就会向服务器API发送一个查询资料的请求。

POST example.com/api/v2/customer/profile HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"id":"1041864"}

服务器API处理请求后发送数据给客户端。

HTTP/1.1 200
Server: openresty/1.17.8.2
Date: Mon, 22 Jan 2024 10:25:30 GMT
Content-Type: application/json
Connection: keep-alive
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
{
'id': 1041864,
'name': 'zhangsan',
'email': 'zhangsan@test.com',
'phone_number': 13800000000,
'card_on_file': false,
'credit_card': null,
'loyalty_points': 0,
}

接着攻击者复制该请求并将数据包中的id修改为1041800,发送给服务器并成功获取了其他人的个人信息。

HTTP/1.1 200
Server: openresty/1.17.8.2
Date: Mon, 22 Jan 2024 10:26:30 GMT
Content-Type: application/json
Connection: keep-alive
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
{
'id': 1041800,
'name': 'lisi',
'email': 'lisi@test.com',
'phone_number': 13800000123,
'card_on_file': false,
'credit_card': null,
'loyalty_points': 0,
}

通过这个漏洞,攻击者可以通过重复调用/api/v2/customer/profile这个API并在每个请求中包含不同的ID来查询用户的敏感信息。

破损的用户身份验证

破损的用户身份验证是指应用程序中存在缺陷或错误的用户身份验证机制,导致攻击者能够绕过身份验证,获得未经授权的访问权。

以下是一些可能导致该漏洞的问题:

  • 密码复杂性较弱

  • 密码历史记录短或丢失

  • 账户锁定阈值过高或缺失

  • 无法在基于证书的身份验证中为每个设备提供唯一的证书

  • 密码和证书轮换的持续时间过长

  • 身份验证材料在url和GET请求中公开

  • 熵不足的身份验证令牌

  • 使用API密钥作为唯一的身份验证材料

  • 未能验证认证材料的真实性

  • JSON Web令牌(JWT)配置不安全,例如使用弱数字签名算法或丢失签名

  • 在加密或散列算法中使用短密钥

  • 使用不适合用例的算法,例如使用哈希算法而不是基于密码的密钥派生函数(PBKDF)

示例1:找回密码

破损的用户身份验证通常出现在各种需要身份认证的场景下,例如找回密码功能。用户正常操作向服务器发送找回密码请求。

POST api/v2/reset-password HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"userID":"123"}

服务器接收到请求后,触发密码重置功能,并向用户邮箱发送验证码以验证身份。由于API没有速率限制,攻击者可以尝试爆破所有4位数字,进行暴力破解。

POST api/v2/reset-password HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"userID":"123","msg":"0000","newPass":"test123"}

然后,攻击者可以猜测该验证码并为用户重置密码。

示例2:JWT接受"None"算法

JWT令牌指Json Web令牌,其中常常包括用户信息,其优点在于我们始终可以轻松解码这些令牌并查看信息,如果想要修改数据,就必须使用算法进行签名。

JWT应该始终使用正确的算法验证令牌,大多数JWT框架默认启用None算法,这将导致我们无需加密即可修改系统内的数据。

这是一个JWT的示例

{
  "alg": "HS256",
  "typ": "JWT"
}
{
  "id": "567",
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

可以看到这个令牌使用HS256加密,如果我们想编辑这个令牌,就必须知道HS256密钥。但如果验证机制接受None算法,我们就可以随意JWT内容而不用验证签名。

{
  "alg": "None",
  "typ": "JWT"
}
{
  "id": "567",
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

破损对象属性级别授权

破损对象属性级别授权是指并非每个用户都有权访问对象的所有属性,即使他们被授权访问该对象的某些属性也是如此。当授权未在足够细粒度的级别执行时,就会出现破损对象属性级别授权漏洞。攻击者可以利用漏洞恶意访问或更改属性。

示例

假设应用程序有一个用户,他拥有first_name、last_name、email_name、is_admin之类的属性。他有编辑前三个属性的权限。换句话说,他可以修改自己的姓名和邮箱信息,而最后一个属性须有权限更高的人去修改。正常用户在修改信息时,UI根本不会显示最后一个属性,所以无法自己更改它,但API实际上并不验证编辑is_admin属性的权限。

正常用户提交修改信息的表单如下:

POST api/v2/user/update-info HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"userID":"123","first_name":"zhang","last_name":"san","email_name":"123@test.com"}

攻击者向请求中添加is_admin属性并赋值为true,也就是调用API给用户123赋予管理员权限。

POST api/v2/user/update-info HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"userID":"123","first_name":"zhang","last_name":"san","email_name":"123@test.com","is_admin":True}

如果成功,攻击者就可以以管理员身份在应用程序中执行操作。

不受限制的资源消耗

不受限制的资源消耗可以分为两种情况:

  1. 由于缺少资源限制,攻击者可以构造大量或单个的API请求,从而使应用程序不堪重负,从而影响应用程序的性能和响应能力,或者导致其变得无响应,也就是DoS攻击。

  2. 由于缺乏速率限制,攻击者可以构造大量的API请求来淹没系统资源、暴力破解登录凭据、窃取大量数据。

示例1

假设网站存在关键字查询功能,用户在使用API时,系统规定了每页最大返回数量和最大返回数据量page_size和max_return。

POST api/v2/search HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"key_word":"test","max_return":"100","page_size":"10"}

攻击者通过修改max_return和page_size的值至20000。

POST api/v2/search HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"key_word":"test","max_return":"20000","page_size":"20000"}

这种修改将导致应用程序返回过多的数据来响应查询,进而导致应用程序速度减慢或对所有用户无响应。

示例2

假设某网站登录处存在忘记密码功能,用户使用此功能会向手机发送验证码,以便重置密码。

首先API调用会从用户浏览器发送到后端API

POST api/v2/user/forgetpwd HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Cookie:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJlZEBleGFtcGxlLmNvbSIsImlhdCI6MTY1ODQ2MDMzMCwiZXhwIjoxNjU4NTQ2NzMwfQ.m0ha0L89xuLpLlLlybcaD2SfKp23BZfe_Hjjs- PprCN2sDvxpmWAcemN5yOq-nhx78Iu8EzLIJbqqc1d-q10UA
Connection: keep-alive

{"username":"test","step":1}

后端API向第三方API发送短信业务请求

POST /sms/send_code HTTP/1.1
Host: smssender.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json
Connection: keep-alive

{"phone":"13800000000"}

第三方收到请求后,会向用户手机号码发送验证码短信。在这个流程中,攻击者可以复刻这个API请求并重复大量发送给后端,导致用户受到短信轰炸攻击。

功能级别授权被破坏

功能级别授权被破坏(BFLA)与对象级授权被破坏(BOLA)很相似,都是由于授权实施不当或配置错误造成的。而功能级别授权被破坏(BFLA)可以被视为对象级授权被破坏(BOLA)的更高级别版本,在利用BFLA漏洞时,攻击者关注的是通用API函数而不是单个API对象。BFLA的结果是客户端可以访问超出其预期访问级别的功能。

示例

假设在某网站存在查看用户的功能,普通用户只能查看用户信息,而管理员用户可以对用户信息进行增删改查。

正常用户上传时数据包如下:

POST api/v2/user/search HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=2261EE46F2BABC4606D6B62DBB4B55
{"userID":"123","max_return":"250","page_size":"250"}

当攻击者以普通用户身份将POST方法改为DELETE方法时,普通用户即拥有了删除用户信息的权限

DELETE api/v2/user/search HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=2261EE46F2BABC4606D6B62DBB4B55
{"userID":"123","max_return":"250","page_size":"250"}

 

玄知安全实验室
关注
  • 23
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
API接口漏洞利用及防御
MachineGunJoe666
09-13 351
经身份验证和授权访问API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
API与事件基础
smx19980410的博客
12-04 621
1.1. Web API介绍 1.1.1 API的概念 API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,无需理解其内部工作机制细节,只需直接调用使用即可。 举例解释什么是API。 例如, ​ C语言中有一个函数 fopen()可以打开硬盘上的文件,这个函数对于我们来说,就是一个C语言提供的打开文件的工具。 ​ javascript中有一个函数alert
Web APIs 学习归纳1---Web API概述&简单的元素获取
最新发布
SPIRITE_SYF的博客
04-25 1120
文档对象模型(Document Object Model,简称DOM),是 W3C 组织推荐的处理可扩展标记语言(HTML 或者XML)的标准编程接口。W3C 已经定义了一系列的 DOM 接口,通过这些 DOM 接口可以改变网页的内容、结构和样式。
API接口漏洞案例—接口授权
2301_77360081的博客
06-08 2555
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
WebAPI基础】
weixin_45888283的博客
05-19 846
DOM-获取DOM元素、修改属性前言一、Web API 简介1.什么是API?2.Web API3.Web API 的作用和分类二、DOM简介1.DOM树2. DOM对象三、获取DOM对象1.根据CSS选择器来获取DOM元素1.1选择匹配的第一个元素1.2选择匹配的多个元素2.其他获取DOM元素方法2.1 id查找2.1 标签名查找2.1 类名查找四、设置/修改DOM元素内容1.document.write()2.对象.innerText 属性3.对象.innerHTML 属性四、设置/修改DOM元素属性1
web api讲解(很多人都觉得自己会了?)
m0_67742636的博客
08-26 899
api基础讲解
常见的API接口漏洞总结
summer_fish的专栏
05-01 3457
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
web应用漏洞.docx
07-05
一、远程代码执行漏洞 1. ADOBE ColdFusion Java RMI 反序列化 RCE 漏洞:攻击者可以通过该漏洞执行任意代码。 2. BEESCMS admin/login.php SQL 注入漏洞:攻击者可以通过该漏洞执行任意 SQL 语句。 3. Discuz X2.5...
Web_API_安全漏洞与检测.pdf
08-07
目录 1 、Web API 安全威胁 2 、Web API 安全漏洞 3 、WAF Web API 漏洞防护 4 、Web API 安全开发建议
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接 ...
WebApi 安全认证
10-02
13. 定期更新和维护:保持WebApi框架和依赖库的最新状态,及时修复已知的安全漏洞。 14. 监控和日志记录:实施监控系统以检测异常行为,并记录所有请求以便分析和审计。 在实施WebApi安全认证时,需根据实际需求和...
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 5650
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
WebAPI
qq_67124455的博客
03-03 3174
web api基础
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 4812
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
19-7-14 学习笔记
qq_42535651的博客
07-14 152
一、什么是DOM        文档对象模型 (DOM) 是HTML和XML文档的编程接口。它提供了对文档的结构化的表述,并定义了一种方式可以使从程序中对该结构进行访问,从而改变文档的结构,样式和内容。DOM 将文档解析为一个由节点和对象(包含属性和方法的对象)组成的结构集合。简言之,它会将web页面和脚本或程序语言连接起来。 ...
一、Web API介绍
weixin_52580155的博客
11-09 1272
Web API介绍一级目录二级目录三级目录## 一、Web API介绍1.1 API的概念二、DOM介绍DOM是什么?2.3获取元素2.3.1 根据ID去获取2.3.2根据标签名获取元素2.3.3 H5新增的获取元素的方法2.3.4 获取特殊元素三、事件基础3.1事件三要素3.2常见的鼠标事件四、操作元素4.1改变元素内容(获取或设置)4.2 常用元素的属性操作获取属性的值设置对象的值4.3分时问候4.4表单元素的属性操作4.5全选和反选4.6样式属性操作4.7点击和关闭案例排他操作自定义属性
webapi
weixin_44470961的博客
07-01 528
转自:https://yq.aliyun.com/articles/611665 1.WebApi是什么: WebAPI 是一种用来开发系统间接口、设备接口 API 的技术,基于 Http 协议,请求和返 回格式结果默认是 json 格式。比 WCF 更简单、更通用,比 WebService 更节省流量、更简洁。 2.预设应用场景: 比如下面的接口 http://msg.jiyuwu.com “可...
WebAPI接口文档漏洞
08-18
对于WebAPI接口文档,漏洞是指其中可能存在的安全问题或信息泄露的风险。常见的WebAPI接口文档漏洞包括但不限于以下几种: 1. 敏感信息泄露:接口文档中可能包含一些敏感信息,如数据库凭据、访问令牌、加密算法等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值