• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    淺談網(wǎng)站SQL注入攻擊防護策略研究

    2016-05-19 13:22李虎軍
    電腦知識與技術(shù) 2016年8期
    關(guān)鍵詞:網(wǎng)站數(shù)據(jù)庫系統(tǒng)

    李虎軍

    摘要:針對動態(tài)網(wǎng)頁生成時存在的安全漏洞,該文簡要介紹了網(wǎng)站SQL注入攻擊的原理、攻擊常用方法,并在此基礎(chǔ)上對如何防范對目標網(wǎng)站數(shù)據(jù)庫系統(tǒng)進行注入攻擊給出了一些防御方法,以期抵御網(wǎng)站所受的注入攻擊,更好地保護Web網(wǎng)站安全和應(yīng)用。

    關(guān)鍵詞:網(wǎng)站; SQL注入;攻擊;數(shù)據(jù)庫系統(tǒng)

    中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)08-0001-03

    隨著互聯(lián)網(wǎng)的飛速發(fā)展,對網(wǎng)站進行SQL注入攻擊的事件層出不窮。2009年2月,據(jù)稱羅馬尼亞黑客團伙利用數(shù)據(jù)庫注入攻擊技術(shù)分別攻擊了F-Secure、BT.com、CNET.com等知名網(wǎng)站。為美國1萬多家公司提供工資服務(wù)的美國PayChoice公司,在受到網(wǎng)站SQL注入攻擊后暫時被迫關(guān)閉其全部網(wǎng)站。Open Web Application Security Project Top 10 for 2013報告稱,注入漏洞攻擊已成為十大網(wǎng)站攻擊之首。

    1 網(wǎng)站SQL注入攻擊原理

    網(wǎng)站SQL注入攻擊,是別有用心的人先使用搜索引擎定位網(wǎng)頁中包含的動態(tài)ASP腳本,測試目標網(wǎng)站的網(wǎng)頁腳本是否存在數(shù)據(jù)庫注入漏洞并確定注入點,最終試圖遍歷目標網(wǎng)站后臺數(shù)據(jù)庫的所有文本字段,獲取目標數(shù)據(jù)庫中用戶名和密碼,進而非法登錄目標網(wǎng)站計算機系統(tǒng),達到惡意目的。一旦攻擊得逞,被攻擊站點就會被入侵、泄密、破壞,甚至也可能成為惡意軟件的分發(fā)點。網(wǎng)站注入攻擊以網(wǎng)站數(shù)據(jù)庫為目標,一般利用Web應(yīng)用程序?qū)μ厥庾址^濾不完全的缺陷,通過精心構(gòu)造的字符串達到非法訪問網(wǎng)站數(shù)據(jù)庫內(nèi)容或在數(shù)據(jù)庫中執(zhí)行命令的目的。

    假設(shè)有語句str="SELECT * FROM user WHERE name=' "+username+" ' and pwd=' "+PassWord+" '; " ,該語句含義是:將用戶輸入的用戶名(存儲在變量username中)和登錄口令(存儲在變量PassWord中)進行數(shù)據(jù)庫檢索驗證,如果相應(yīng)的用戶名和登錄口令正確,則該語句能返回正確的檢索信息,否則,檢索結(jié)果為空(意味著身份驗證失敗)。以下兩種情況都可實現(xiàn)注入攻擊。

    如果將username賦值如下: username="1'or 1=1--",將PassWord賦值任意字符串,則程序在進行變量替換后,str中實際存放的字符串為:str="SELECT * FROM user WHERE name='1' OR 1=1-- and pwd=' 任意字符串'; "。表達式name='1' OR 1=1值為真,其后驗證密碼部分被注釋掉,則strSQL中實際存放的字符串相當(dāng)于:str="SELECT * FROM user ;",就相當(dāng)于不需對用戶輸入的用戶名和密碼進行驗證。

    如果在正常瀏覽網(wǎng)頁的URL地址http://xx.xx.xx.xx/abd.asp?id=KK后添加“and 1=1”時網(wǎng)頁如果無變化,而當(dāng)添加“ and 1=2”時網(wǎng)頁出現(xiàn)錯誤,則說明該網(wǎng)頁存在注入漏洞。當(dāng)添加“and 1=(SELECT is_srvrolemember('sysadmin'))”時頁面訪問正常,則說明連接數(shù)據(jù)庫的用戶權(quán)限為sysadmin,可以執(zhí)行數(shù)據(jù)庫命令,表明存在注入權(quán)限為系統(tǒng)管理員漏洞。此時,如果添加的語句為“;exec master..xp_cmdshell 'net user test 123/add '--” ,則URL地址中包含的SQL語句就可以在數(shù)據(jù)庫中創(chuàng)建一個名為test、登錄口令為123的用戶。黑客即可利用新建的用戶text上傳木馬至目標主機,為后續(xù)非法攻擊奠定基礎(chǔ)。

    2 網(wǎng)站SQL注入攻擊

    2.1 SQL注入漏洞與位置探測

    一般來說,帶有參數(shù)的動態(tài)網(wǎng)頁并且此網(wǎng)頁的生成需要訪問數(shù)據(jù)庫系統(tǒng),則很有可能存在SQL注入漏洞。如果網(wǎng)站設(shè)計程序員安全意識不強,沒有過濾掉一些輸入的特殊字符,則存在SQL注入的可能性就非常大。通常在頁面URL地址處添加“and 1=1”、“ and 1=2”以及單雙引號等一些特殊字符,并通過網(wǎng)頁瀏覽器所返回的信息來判斷目標網(wǎng)站是否存在SQL注入漏洞。如果網(wǎng)站程序員對單引號進行了過濾,則攻擊者還可以采用:如用SELect代替select、SELECT的大小寫混合法;在IE中將輸入的字符串變成UNICODE字符串進行輸入,如將+換成%2b、將空格換成 %20的UNICODE法;把輸入的字符用ASCII碼代替,例如將字符A換成chr(65)的 ASCII碼法。

    2.2 判斷網(wǎng)站后臺數(shù)據(jù)庫的相關(guān)信息

    在進行SQL注入攻擊前,需要先識別被攻擊網(wǎng)站后臺所用數(shù)據(jù)庫管理系統(tǒng)的類型和版本??梢酝ㄟ^網(wǎng)站所用的開發(fā)語言判斷后臺數(shù)據(jù)庫類型。例如基于ASP或者ASP.NET技術(shù)所開發(fā)的網(wǎng)站通常用Microsoft SQL SERVER作為網(wǎng)站后臺數(shù)據(jù)庫管理系統(tǒng)。也可通過網(wǎng)站的部署環(huán)境進行判斷,如果是運行在Linux操作系統(tǒng)上的Apache應(yīng)用服務(wù)器,則網(wǎng)站很可能使用的是MySQL數(shù)據(jù)庫。如果網(wǎng)站開發(fā)者沒有向瀏覽者屏蔽錯誤消息,則通過在URL中附加一些字符使網(wǎng)站后臺數(shù)據(jù)庫系統(tǒng)產(chǎn)生語法錯誤消息并將相應(yīng)信息返回到訪問頁面,則攻擊者可以根據(jù)返回的錯誤消息來判斷是那類數(shù)據(jù)庫管理系統(tǒng)。還可以利用不同數(shù)據(jù)庫管理系統(tǒng)的獨特SQL語法進行判斷。例如, MySQL支持select 'a'+'b' 和select concat('a','b');Oracle數(shù)據(jù)庫支持select 'a' ||'b'和select concat('a','b')。

    判斷出數(shù)據(jù)庫管理系統(tǒng)類型之后,可通過查詢語句獲取版本信息。如果是MySQL數(shù)據(jù)庫則可發(fā)送select version( )。也可通過判別系統(tǒng)表方式判斷數(shù)據(jù)庫類型,Access數(shù)據(jù)庫的系統(tǒng)表是msysobjects,SQL Server數(shù)據(jù)庫的系統(tǒng)表是sysobjects,系統(tǒng)變量有user和db_name( )。通過讀取上述表和變量的方式判斷網(wǎng)站后臺數(shù)據(jù)庫管理系統(tǒng)類型。通過http://xx.xx.xx.xx/abc.asp?id=KK and( select db_name( ))>0,可以得到目標網(wǎng)站當(dāng)前連接的數(shù)據(jù)庫名。獲知了網(wǎng)站后臺數(shù)據(jù)庫的相關(guān)信息,為后續(xù)有針對性地采取對應(yīng)入侵方式打下基礎(chǔ)。

    2.3 確定目標網(wǎng)站主機目錄

    為了上傳木馬程序到目標網(wǎng)站,需先找到目標網(wǎng)站的Web虛擬目錄,并將木馬程序上傳其中,使木馬程序得到運行,從而創(chuàng)建目標網(wǎng)站后門。通常有兩種方法:

    1)根據(jù)經(jīng)驗猜解。一般來說,Web虛擬目錄可能是c:\inetpub\wwwroot或是d:\inetpub\wwwroot等,而可執(zhí)行虛擬目錄可能是c:\inetpub\scripts或是d:\inetpub\scripts等。

    2)通過遍歷目標網(wǎng)站主機的目錄結(jié)構(gòu),分析相關(guān)數(shù)據(jù)發(fā)現(xiàn)目標主機的Web虛擬目錄。可以利用xp_availablemedia獲取當(dāng)前所有驅(qū)動器;接著利用xp_subdirs獲得子目錄列表;然后利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu)。

    2.4獲取用戶賬戶信息與口令

    許多Web網(wǎng)站為了維護方便,提供了遠程管理功能,對于不同用戶有不同的訪問權(quán)限。為了以合法用戶身份登錄目標網(wǎng)站,需要獲取目標網(wǎng)站的用戶名和登錄口令。用戶名與口令通常存儲在數(shù)據(jù)庫才一張表中。首先找到系統(tǒng)存放用戶名和口令的表,這里假設(shè)該表名為Stable。

    1)猜解表中用戶名字段名和口令字段名。在Stable表中必定存在一個用戶名字段和一個登錄口令字段,只有首先得到這兩個字段的名稱,后續(xù)才能設(shè)法得到這兩個字段的內(nèi)容。

    假設(shè)有:http://xx.xx.xx.xx/abc.asp?id=KK and( SELECT top 1 col_name (object_id('Stable'),1) FROM TestDB.dbo.sysobjects)>0,該注入語句是從系統(tǒng)表sysobjects中得到表Stable的第一個字段名。當(dāng)與整數(shù)進行比較時,該URL訪問異常,但在異常中卻可以發(fā)現(xiàn)想要的字段名稱。把col_name(object_id('Stable'),1)中的1依次替換為2、3、……就可以得到Stable表中所有的字段名稱。

    2)猜測用戶名和口令

    可以采用ASCII碼逐字解碼,先猜測字段的長度,然后異常猜測出每一位的值。以猜測用戶名為例。http://xx.xx.xx.xx/abc.asp?id=KK and( SELECT top 1用戶名字段FROM TestDB.dbo.Stable)=YY(YY=1、2、3、……),若YY為i值且abc.asp運行正常,則i就是第一個用戶名的長度。

    猜測用戶名的第一個字符(猜測口令同理):http://xx.xx.xx.xx/abc.asp?id=KK and(SELECT top 1 ascii(substring(username,1,1) FROM TestDB.dbo.Stable)=XX,若XX為某i值且abc.asp運行正常,則i就是對應(yīng)字符的ASCII碼值。

    通過上述操作,可獲得目標網(wǎng)站的用戶名與口令。

    3 防御SQL注入策略

    網(wǎng)站SQL注入攻擊主要針對運行在目標計算機應(yīng)用層的Web應(yīng)用程序,因此對于絕大多數(shù)防火墻來說,這種攻擊是“合法”的(使用合法的HTTP協(xié)議)。為更好地防御SQL注入攻擊需要在設(shè)計網(wǎng)站、進行編程時進行完善。因此在設(shè)計網(wǎng)站、編寫Web應(yīng)用程序時,應(yīng)遵循以下策略以減少SQL注入漏洞。

    3.1 SQL注入攻擊的檢測

    SQL注入攻擊的檢測分為網(wǎng)站被入侵前的檢測和被入侵后的檢測。被入侵前的檢測,既可以采用手工方式,也可以采用SQL注入工具軟件。對于被SQL注入攻擊后的檢測,主要通過對日志的檢測來發(fā)現(xiàn)攻擊活動。因為SQL注入攻擊成功后,都會在網(wǎng)站的IIS日志和數(shù)據(jù)庫系統(tǒng)中留下“痕跡”。 檢測的目的是為預(yù)防SQL注入攻擊。

    1)數(shù)據(jù)庫系統(tǒng)檢查

    使用NBSI、HDSI等軟件進行SQL注入攻擊后,都會在目標主機的數(shù)據(jù)庫系統(tǒng)中生成臨時表。通過查看目標主機的數(shù)據(jù)庫系統(tǒng)中最近新建表的結(jié)構(gòu)和內(nèi)容,通常可以判斷出是否被SQL注入攻擊過。

    2)Internet 信息服務(wù)(IIS)日志檢查

    如果網(wǎng)站主機系統(tǒng)啟用了日志記錄,則IIS 日志中存有訪問者的IP地址、所訪問文件等訪問信息;SQL注入攻擊者往往會大量訪問某一個存在SQL注入漏洞的動態(tài)網(wǎng)頁,則IIS日志文件內(nèi)容會快速增加。通過查看IIS日志文件的大小變化以及IIS日志文件中的內(nèi)容,也能判斷是否被SQL注入攻擊過。

    3)通過其他相關(guān)信息進行判斷

    在SQL注入攻擊成功后,攻擊者通常會在目標主機系統(tǒng)中添加用戶、開放遠程服務(wù)以及安裝運行木馬等。可以通過檢查系統(tǒng)用戶賬號、遠程服務(wù)開啟情況、系統(tǒng)最近產(chǎn)生的文件等信息來判斷是否被入侵過。

    3.2 參數(shù)化語句

    ASP網(wǎng)站易受到SQL注入攻擊的原因是攻擊者將惡意的SQL語句以合法的字符串形式利用網(wǎng)站系統(tǒng)動態(tài)構(gòu)造SQL語句的特點使后臺數(shù)據(jù)庫系統(tǒng)執(zhí)行。大多數(shù)網(wǎng)站編程語言和數(shù)據(jù)庫訪問API允許使用占位符或通過綁定變量來向數(shù)據(jù)庫系統(tǒng)的查詢命令提供參數(shù),而不僅僅是對用戶的輸入直接進行操作;即使用戶輸入的參數(shù)中含有分號、注釋符號、SELECT等一些SQL關(guān)鍵字,也要被轉(zhuǎn)義成一般字符進行處理,這種處理方式通常被稱為參數(shù)化查詢。此方法是一種較為安全的動態(tài)字符串構(gòu)造方法,參數(shù)化查詢可以避免網(wǎng)站URL中常見的SQL注入攻擊問題。

    3.3 過濾特殊字符

    在SQL注入攻擊前進行漏洞探測時,攻擊者需要在提交的參數(shù)中包含一些特殊字符,在實施SQL注入時,SQL語句中往往需要包含“'”、“;”、“or”、“--”、“select”、“add”、“xp_”等字符。防范SQL注入攻擊的最有效的方法是對用戶的輸入內(nèi)容進行安全檢查。根據(jù)參數(shù)的類型,將用戶輸入的單引號、雙引號、分號、逗號、冒號、連接號等進行轉(zhuǎn)換或過濾,可以防止很多SQL注入攻擊。例如對單引號過濾,可以將單引號轉(zhuǎn)換成兩個單引號,此舉將導(dǎo)致用戶提交的數(shù)據(jù)在進行SQL語句查詢時出現(xiàn)語法錯誤;也可以將單引號轉(zhuǎn)換成空格,對用戶輸入提供數(shù)據(jù)進行嚴格限制。上述方法將導(dǎo)致SQL注入失敗。

    3.4 最小權(quán)限原則

    為防止網(wǎng)站訪問用戶濫用權(quán)限,應(yīng)該只給網(wǎng)頁訪問數(shù)據(jù)庫系統(tǒng)所需的最小權(quán)限。如果網(wǎng)頁不需要訪問數(shù)據(jù)庫中的某些表,則應(yīng)該明確網(wǎng)頁沒有訪問這些表的權(quán)限;如果網(wǎng)頁只需要讀權(quán)限,則應(yīng)確認其無表的更改等權(quán)限。如果網(wǎng)頁程序需訪問數(shù)據(jù)庫系統(tǒng),則其不應(yīng)使用sa、root、system等系統(tǒng)管理員賬號,而應(yīng)該使用普通用戶賬號,并且根據(jù)實際需要嚴格設(shè)置其權(quán)限。對于只讀操作,則只分配select權(quán)限,而不要分配insert、update、delete等這些具有修改功能的權(quán)限。即便網(wǎng)站被攻擊泄露了數(shù)據(jù),數(shù)據(jù)也不會被破壞。特別注意,Web應(yīng)用程序所使用的存儲過程和函數(shù)的權(quán)限,也要遵循最小權(quán)限原則。運行在操作系統(tǒng)上的數(shù)據(jù)庫應(yīng)用程序也要被設(shè)置成最小權(quán)限。還應(yīng)關(guān)閉數(shù)據(jù)庫中的額外功能,例如在SQL SERVER中,應(yīng)關(guān)閉xp_cmdshell以及xp_reg*等存儲過程的運行。確保操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)漏洞已得到修補,系統(tǒng)已更新了最新的補丁。

    3.5規(guī)范化輸入

    攻擊者也可以通過發(fā)送輸入數(shù)據(jù)前對其進行編碼,然后再對其進行解碼和解釋的方式,來達到攻擊目的。對上述方式中所輸入的數(shù)據(jù)進行驗證是比較難處理的。例如在UNICODE中SQL注入常將雙引號用"%u0022"表示。為規(guī)范化輸入,可以通過白名單驗證的方式過濾掉所有不符合規(guī)定的輸入內(nèi)容。但當(dāng)SQL注入攻擊字符串是符合格式要求的字符串時,就需要尋找編碼方法或其他輸入方法來保證接收的字符串是安全的??梢韵葘⑤斎氲淖址M行解碼,當(dāng)解碼后的字符串中還存有經(jīng)過編碼的字符時,則認為該字符串為非法輸入。另外,每種數(shù)據(jù)庫管理系統(tǒng)都有一個字符轉(zhuǎn)義機制來判斷輸入的內(nèi)容是數(shù)據(jù)而不是代碼,則可以對用戶所有輸入的字符串進行轉(zhuǎn)義,那么數(shù)據(jù)庫系統(tǒng)就不會混淆數(shù)據(jù)和代碼,也就不易出現(xiàn)被SQL注入攻擊了。

    3.6 網(wǎng)站服務(wù)器設(shè)置

    SQL注入攻擊很多時候是根據(jù)目標服務(wù)器給出的錯誤信息進行判斷、入侵的,網(wǎng)站服務(wù)器端配置應(yīng)將錯誤提示信息的反饋功能關(guān)閉,使得攻擊者只能進行盲注入,大大提高注入攻擊的難度。同時,要利用IIS日志服務(wù),及時發(fā)現(xiàn)SQL注入攻擊痕跡。數(shù)據(jù)庫名、表名、字段名的命名要避免采用默認或通用的名稱,避免給注入者留下可乘之機。對系統(tǒng)的用戶和角色合理授權(quán),嚴格用戶最小權(quán)限原則。 刪除網(wǎng)站主機不使用的賬戶,防止攻擊者通過這些賬戶來獲得目標服務(wù)器上的數(shù)據(jù)和應(yīng)用程序的訪問權(quán)。系統(tǒng)必須使用強密碼,以增加攻擊者進行暴力攻擊的難度。在網(wǎng)站服務(wù)器系統(tǒng)中適當(dāng)設(shè)置假用戶,誘騙攻擊者,增加攻擊難度。禁止將敏感性數(shù)據(jù)以明文存放在數(shù)據(jù)庫中,通過哈希函數(shù)加密后存放,或通過RSA提供的加解密API在讀取/寫入數(shù)據(jù)時進行解密/加密處理,進行這樣即使數(shù)據(jù)庫被SQL注入漏洞攻擊,也會減少泄密的風(fēng)險。

    將網(wǎng)站后臺存放文本的目錄的執(zhí)行權(quán)限均設(shè)置為“無”,即使網(wǎng)站該目錄被上傳了木馬,該木馬也不能運行。將Web應(yīng)用的根目錄和虛擬目錄轉(zhuǎn)移到非系統(tǒng)分區(qū),以防被目錄遍歷攻擊。Web管理員必須通過本地登錄方式管理Web服務(wù)器。經(jīng)常使用漏洞掃描工具和網(wǎng)站監(jiān)視工具對網(wǎng)站進行監(jiān)測和查找漏洞,保護網(wǎng)站的安全。

    4 結(jié)束語

    本文從SQL注入攻擊的基本原理和過程描述了SQL注入攻擊可能對網(wǎng)站系統(tǒng)造成的各種破壞,以及相關(guān)攻擊過程和手段,重點闡述了如何有效防范SQL注入攻擊的策略和措施,以便有效防范SQL注入攻擊,更好地保護Web網(wǎng)站安全。

    參考文獻:

    [1] 黃景文.SQL注入攻擊的一個新的防范策略[J].微計算機信息,2008(6):31-32.

    [2] 查凱.基于標識的SQL注入攻擊防御方法[J].信息安全與通信保密,2011(6):54-55.

    [3] 黃健.計算機信息安全技術(shù)及防護[J].信息安全與技術(shù),2012(4):83-85.

    猜你喜歡
    網(wǎng)站數(shù)據(jù)庫系統(tǒng)
    Oracle數(shù)據(jù)庫系統(tǒng)的性能優(yōu)化研究
    數(shù)據(jù)庫系統(tǒng)shell腳本應(yīng)用
    微細銑削工藝數(shù)據(jù)庫系統(tǒng)設(shè)計與開發(fā)
    江蘇省ETC數(shù)據(jù)庫系統(tǒng)改造升級方案探討
    實時數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)安全采集方案
    河洛文化旅游資源外宣網(wǎng)站日譯現(xiàn)狀調(diào)查及對策研究
    核反應(yīng)堆材料數(shù)據(jù)庫系統(tǒng)及其應(yīng)用
    国产在线免费精品| 一本色道久久久久久精品综合| 一级av片app| 日日爽夜夜爽网站| 国产免费视频播放在线视频| av国产久精品久网站免费入址| 久久国内精品自在自线图片| 有码 亚洲区| 亚洲精品国产成人久久av| av国产精品久久久久影院| 亚洲欧洲精品一区二区精品久久久 | 亚洲精品日韩在线中文字幕| 一级,二级,三级黄色视频| 日日啪夜夜撸| 成人国产麻豆网| 亚洲av男天堂| 一级毛片电影观看| 一二三四中文在线观看免费高清| 精品少妇久久久久久888优播| 一本久久精品| 国产乱来视频区| 嘟嘟电影网在线观看| 精品亚洲成国产av| tube8黄色片| 欧美 日韩 精品 国产| 中文字幕制服av| 中文字幕制服av| 老女人水多毛片| 丝袜喷水一区| h视频一区二区三区| 日韩欧美一区视频在线观看 | 日韩大片免费观看网站| 国产成人91sexporn| 啦啦啦在线观看免费高清www| 成人国产麻豆网| 日日啪夜夜爽| 高清毛片免费看| 久久久久久久亚洲中文字幕| 极品少妇高潮喷水抽搐| 一级毛片aaaaaa免费看小| 欧美老熟妇乱子伦牲交| 新久久久久国产一级毛片| 熟妇人妻不卡中文字幕| 久久久久久久大尺度免费视频| 亚洲精品一区蜜桃| 中文字幕人妻熟人妻熟丝袜美| 免费少妇av软件| 欧美变态另类bdsm刘玥| 高清视频免费观看一区二区| 岛国毛片在线播放| 夜夜看夜夜爽夜夜摸| 天天操日日干夜夜撸| 国内少妇人妻偷人精品xxx网站| a级毛片在线看网站| 亚洲伊人久久精品综合| 一区二区三区免费毛片| 一个人免费看片子| 天天操日日干夜夜撸| 欧美精品国产亚洲| 麻豆成人午夜福利视频| 久久久欧美国产精品| 亚洲激情五月婷婷啪啪| 国产精品女同一区二区软件| 三上悠亚av全集在线观看 | 国产精品女同一区二区软件| 超碰97精品在线观看| 赤兔流量卡办理| 交换朋友夫妻互换小说| 五月玫瑰六月丁香| 51国产日韩欧美| 秋霞伦理黄片| 亚洲精品,欧美精品| 男女国产视频网站| 欧美丝袜亚洲另类| 女性生殖器流出的白浆| 一级毛片 在线播放| 精品久久久精品久久久| 亚洲三级黄色毛片| 亚洲av中文av极速乱| 精品久久久久久久久av| 丰满饥渴人妻一区二区三| a级片在线免费高清观看视频| 国产黄色免费在线视频| 免费观看性生交大片5| 欧美丝袜亚洲另类| 国产高清不卡午夜福利| 九色成人免费人妻av| 最近的中文字幕免费完整| av视频免费观看在线观看| 日韩av在线免费看完整版不卡| 国产精品欧美亚洲77777| 51国产日韩欧美| 熟女av电影| 国产极品天堂在线| 免费观看无遮挡的男女| 丝袜喷水一区| 成人毛片a级毛片在线播放| 日韩av免费高清视频| 熟女人妻精品中文字幕| 久久精品国产亚洲av涩爱| 免费观看a级毛片全部| 亚洲国产精品999| 亚洲欧美精品专区久久| 人人妻人人添人人爽欧美一区卜| 国产在线一区二区三区精| 色94色欧美一区二区| 少妇人妻久久综合中文| 久久久久网色| 欧美激情国产日韩精品一区| 99热网站在线观看| 少妇 在线观看| 91精品一卡2卡3卡4卡| 亚洲欧美精品专区久久| 99久久综合免费| 国产高清三级在线| 91久久精品电影网| 成人18禁高潮啪啪吃奶动态图 | 老熟女久久久| 两个人的视频大全免费| 久久青草综合色| 中文字幕免费在线视频6| 人人妻人人澡人人爽人人夜夜| 久久久久久久久大av| 国产精品熟女久久久久浪| 精品一品国产午夜福利视频| 国产精品福利在线免费观看| 成人无遮挡网站| 黄色欧美视频在线观看| 中文欧美无线码| av卡一久久| 老熟女久久久| 日韩,欧美,国产一区二区三区| 中文字幕久久专区| 国语对白做爰xxxⅹ性视频网站| 插阴视频在线观看视频| 亚洲精品456在线播放app| 国产免费又黄又爽又色| 久久久a久久爽久久v久久| 国产精品国产av在线观看| 精品一区二区三卡| 日日摸夜夜添夜夜添av毛片| 高清黄色对白视频在线免费看 | 乱系列少妇在线播放| 精品亚洲成国产av| 久久久国产精品麻豆| 国产精品偷伦视频观看了| 啦啦啦在线观看免费高清www| 午夜91福利影院| 亚洲国产欧美日韩在线播放 | 欧美 亚洲 国产 日韩一| 男女无遮挡免费网站观看| freevideosex欧美| 91精品国产国语对白视频| 新久久久久国产一级毛片| 久久99一区二区三区| 亚洲精品国产成人久久av| 中文字幕亚洲精品专区| 日韩欧美 国产精品| 精品一区在线观看国产| 欧美成人午夜免费资源| 久久久午夜欧美精品| 观看美女的网站| 丝瓜视频免费看黄片| 永久网站在线| 日本爱情动作片www.在线观看| 极品少妇高潮喷水抽搐| 夫妻性生交免费视频一级片| 免费人成在线观看视频色| 99热这里只有是精品在线观看| 亚洲精品一区蜜桃| 人妻制服诱惑在线中文字幕| 大陆偷拍与自拍| 国产黄频视频在线观看| 日韩中文字幕视频在线看片| 精品卡一卡二卡四卡免费| 91精品国产九色| 人人妻人人爽人人添夜夜欢视频 | 国产精品无大码| 亚洲内射少妇av| 一本一本综合久久| 国产深夜福利视频在线观看| 久久久久国产网址| 欧美日韩视频精品一区| 免费大片18禁| 婷婷色av中文字幕| 在线播放无遮挡| 日本与韩国留学比较| 夫妻午夜视频| 老熟女久久久| 街头女战士在线观看网站| 热re99久久国产66热| 国产色婷婷99| 日韩伦理黄色片| 一本一本综合久久| 黄色日韩在线| 18禁在线播放成人免费| 国产淫语在线视频| 国产成人免费观看mmmm| 国产精品久久久久久精品古装| 全区人妻精品视频| 亚洲,一卡二卡三卡| 午夜影院在线不卡| 亚洲欧美成人综合另类久久久| 中文乱码字字幕精品一区二区三区| 伊人久久精品亚洲午夜| 国产精品欧美亚洲77777| 国产91av在线免费观看| 欧美精品人与动牲交sv欧美| 国模一区二区三区四区视频| 国产成人一区二区在线| 少妇的逼好多水| 在线亚洲精品国产二区图片欧美 | 色哟哟·www| 99热这里只有精品一区| 伊人亚洲综合成人网| 久久国产亚洲av麻豆专区| 欧美97在线视频| 91aial.com中文字幕在线观看| 中文字幕精品免费在线观看视频 | 久久久精品免费免费高清| 少妇被粗大猛烈的视频| 久久人人爽人人片av| 波野结衣二区三区在线| 综合色丁香网| 少妇被粗大的猛进出69影院 | 国产精品久久久久久久电影| 青春草亚洲视频在线观看| 老女人水多毛片| 国产一区二区三区av在线| 免费观看的影片在线观看| 亚洲性久久影院| 亚洲国产欧美在线一区| 久热久热在线精品观看| 国产在线免费精品| 一级二级三级毛片免费看| 日本91视频免费播放| 国产真实伦视频高清在线观看| 色婷婷久久久亚洲欧美| 熟女电影av网| 六月丁香七月| 黄色一级大片看看| 18禁在线播放成人免费| 日韩电影二区| 欧美日韩视频精品一区| 国产精品国产三级国产专区5o| 欧美日韩一区二区视频在线观看视频在线| 中文字幕av电影在线播放| 国产在线男女| 亚洲av福利一区| 成年av动漫网址| 午夜福利网站1000一区二区三区| 国模一区二区三区四区视频| 五月开心婷婷网| 男女边吃奶边做爰视频| 又黄又爽又刺激的免费视频.| 欧美日韩视频精品一区| 国产精品99久久99久久久不卡 | 免费不卡的大黄色大毛片视频在线观看| 婷婷色av中文字幕| 只有这里有精品99| 精品一区二区三区视频在线| 欧美三级亚洲精品| 精品卡一卡二卡四卡免费| 人人妻人人爽人人添夜夜欢视频 | 丝袜喷水一区| 美女国产视频在线观看| 人妻系列 视频| 国产欧美亚洲国产| 岛国毛片在线播放| 精品亚洲成国产av| 天堂中文最新版在线下载| 欧美少妇被猛烈插入视频| 久久人人爽人人爽人人片va| 久久 成人 亚洲| 久久精品国产鲁丝片午夜精品| 黄色日韩在线| 久久精品国产自在天天线| 国产成人a∨麻豆精品| 日本91视频免费播放| 欧美xxⅹ黑人| 免费久久久久久久精品成人欧美视频 | 日韩 亚洲 欧美在线| 中国美白少妇内射xxxbb| 成人黄色视频免费在线看| av国产久精品久网站免费入址| 欧美一级a爱片免费观看看| 精品人妻偷拍中文字幕| 国产精品久久久久久av不卡| 精品酒店卫生间| 国产日韩一区二区三区精品不卡 | 久久久久久久久久成人| 9色porny在线观看| 日日摸夜夜添夜夜添av毛片| 激情五月婷婷亚洲| 亚洲av成人精品一区久久| 日韩不卡一区二区三区视频在线| 亚洲精品国产av蜜桃| 中文欧美无线码| 97精品久久久久久久久久精品| 一级毛片黄色毛片免费观看视频| 能在线免费看毛片的网站| 一个人看视频在线观看www免费| 日韩强制内射视频| kizo精华| 亚洲av电影在线观看一区二区三区| 99热这里只有是精品50| 日韩中文字幕视频在线看片| 午夜影院在线不卡| 五月玫瑰六月丁香| 欧美97在线视频| 99久久中文字幕三级久久日本| 另类精品久久| 国产真实伦视频高清在线观看| 亚洲精品成人av观看孕妇| 大话2 男鬼变身卡| 成年人午夜在线观看视频| 精品国产露脸久久av麻豆| 午夜福利视频精品| 国产精品一区二区在线观看99| 少妇裸体淫交视频免费看高清| 久热这里只有精品99| 十分钟在线观看高清视频www | 国产一区二区三区av在线| 熟女人妻精品中文字幕| 日韩av不卡免费在线播放| 女性被躁到高潮视频| 国产av码专区亚洲av| 王馨瑶露胸无遮挡在线观看| 三级经典国产精品| 美女福利国产在线| 夫妻性生交免费视频一级片| 能在线免费看毛片的网站| 亚洲经典国产精华液单| 美女福利国产在线| 看十八女毛片水多多多| 亚洲精品久久午夜乱码| 亚洲久久久国产精品| 伦理电影免费视频| 少妇的逼水好多| 2018国产大陆天天弄谢| 青春草视频在线免费观看| 成人国产av品久久久| 男人添女人高潮全过程视频| 成年美女黄网站色视频大全免费 | 一级爰片在线观看| 日韩人妻高清精品专区| 国产精品久久久久久av不卡| 夜夜爽夜夜爽视频| 国产精品成人在线| 国内精品宾馆在线| 免费看不卡的av| 久久久午夜欧美精品| 在线观看免费高清a一片| 亚洲人成网站在线观看播放| 亚洲精品久久久久久婷婷小说| 黄色怎么调成土黄色| 亚洲不卡免费看| 一级毛片黄色毛片免费观看视频| av天堂久久9| 国产深夜福利视频在线观看| 日韩一本色道免费dvd| 啦啦啦视频在线资源免费观看| 久久国产精品男人的天堂亚洲 | tube8黄色片| 国产一区二区三区av在线| 2021少妇久久久久久久久久久| 高清视频免费观看一区二区| 亚洲精品乱久久久久久| 男人狂女人下面高潮的视频| 亚洲av日韩在线播放| 一区二区三区四区激情视频| 久久久久久久亚洲中文字幕| www.色视频.com| 亚洲美女搞黄在线观看| 99久久精品热视频| 国产精品麻豆人妻色哟哟久久| 国产欧美另类精品又又久久亚洲欧美| 在线观看一区二区三区激情| 又粗又硬又长又爽又黄的视频| 午夜影院在线不卡| 夫妻午夜视频| 亚洲无线观看免费| 一区二区三区精品91| 简卡轻食公司| 汤姆久久久久久久影院中文字幕| 亚洲人与动物交配视频| 国产精品福利在线免费观看| 中文字幕制服av| 国内揄拍国产精品人妻在线| 国产亚洲av片在线观看秒播厂| 日日撸夜夜添| 午夜影院在线不卡| 国产国拍精品亚洲av在线观看| 国产欧美日韩精品一区二区| 夫妻午夜视频| 欧美高清成人免费视频www| 亚洲av电影在线观看一区二区三区| 国产伦在线观看视频一区| 成人漫画全彩无遮挡| 国产午夜精品一二区理论片| 色视频在线一区二区三区| 欧美激情国产日韩精品一区| av卡一久久| 最近中文字幕2019免费版| 中文字幕精品免费在线观看视频 | 成人亚洲欧美一区二区av| 精品卡一卡二卡四卡免费| 九九在线视频观看精品| 在现免费观看毛片| 久久久午夜欧美精品| 在线观看www视频免费| 亚洲美女黄色视频免费看| 18禁动态无遮挡网站| 草草在线视频免费看| 亚洲精品一区蜜桃| 啦啦啦在线观看免费高清www| 日韩一区二区视频免费看| 国产高清国产精品国产三级| 国产精品99久久久久久久久| 啦啦啦视频在线资源免费观看| 免费av不卡在线播放| 日韩欧美精品免费久久| 日韩欧美 国产精品| 亚洲精品成人av观看孕妇| 亚洲美女黄色视频免费看| 国产欧美日韩一区二区三区在线 | 男女边摸边吃奶| 大话2 男鬼变身卡| 亚洲av福利一区| 晚上一个人看的免费电影| 亚洲欧美精品自产自拍| 国产高清有码在线观看视频| 国产精品国产av在线观看| 亚洲国产欧美在线一区| 国产深夜福利视频在线观看| 日本与韩国留学比较| 丝袜脚勾引网站| 精品国产露脸久久av麻豆| 91精品国产国语对白视频| 在线精品无人区一区二区三| 欧美少妇被猛烈插入视频| 国产免费又黄又爽又色| 国产成人91sexporn| 特大巨黑吊av在线直播| 只有这里有精品99| 亚洲人与动物交配视频| 国产免费福利视频在线观看| 能在线免费看毛片的网站| 国产精品一区二区三区四区免费观看| 国产av国产精品国产| 色94色欧美一区二区| 国产精品熟女久久久久浪| 亚洲av中文av极速乱| 男人狂女人下面高潮的视频| av免费在线看不卡| 成年女人在线观看亚洲视频| 校园人妻丝袜中文字幕| 国产有黄有色有爽视频| 一级黄片播放器| 国产一区二区在线观看日韩| 日本91视频免费播放| 免费av中文字幕在线| 欧美精品高潮呻吟av久久| 精品午夜福利在线看| 久久久精品免费免费高清| 日韩成人av中文字幕在线观看| 国产精品一区二区在线观看99| 老司机亚洲免费影院| 亚洲精品亚洲一区二区| 99热这里只有精品一区| 高清av免费在线| 亚洲性久久影院| 亚洲高清免费不卡视频| 亚洲精品aⅴ在线观看| 国产69精品久久久久777片| 26uuu在线亚洲综合色| 乱码一卡2卡4卡精品| 免费久久久久久久精品成人欧美视频 | 日韩制服骚丝袜av| 精品视频人人做人人爽| 最近中文字幕高清免费大全6| 99视频精品全部免费 在线| 国产美女午夜福利| 国产熟女午夜一区二区三区 | 永久网站在线| 欧美丝袜亚洲另类| 女人精品久久久久毛片| kizo精华| 国模一区二区三区四区视频| 日韩av在线免费看完整版不卡| 亚洲国产成人一精品久久久| 中文精品一卡2卡3卡4更新| 国产伦在线观看视频一区| 成人无遮挡网站| 日韩av不卡免费在线播放| 在线亚洲精品国产二区图片欧美 | 亚洲欧美中文字幕日韩二区| 如日韩欧美国产精品一区二区三区 | 日本黄色片子视频| 99久久中文字幕三级久久日本| 另类亚洲欧美激情| 美女内射精品一级片tv| 一级,二级,三级黄色视频| 狠狠精品人妻久久久久久综合| 亚洲精品乱久久久久久| 亚洲无线观看免费| 一本久久精品| 国产精品偷伦视频观看了| 高清在线视频一区二区三区| 免费av中文字幕在线| av有码第一页| 中文乱码字字幕精品一区二区三区| 如日韩欧美国产精品一区二区三区 | 91精品国产九色| 日韩三级伦理在线观看| 欧美+日韩+精品| 春色校园在线视频观看| 街头女战士在线观看网站| 91成人精品电影| 亚洲国产精品一区三区| 全区人妻精品视频| 久久99热6这里只有精品| 久久久久久伊人网av| 日韩在线高清观看一区二区三区| 欧美日韩国产mv在线观看视频| 亚洲精品视频女| 国产在线一区二区三区精| 一级a做视频免费观看| 久久鲁丝午夜福利片| 成年人午夜在线观看视频| 观看av在线不卡| 久久狼人影院| 久久韩国三级中文字幕| 久久久久久久久久久久大奶| 亚洲不卡免费看| 成人特级av手机在线观看| 黄色日韩在线| 韩国av在线不卡| 草草在线视频免费看| 亚洲人成网站在线观看播放| av国产久精品久网站免费入址| 最新的欧美精品一区二区| 涩涩av久久男人的天堂| 国产综合精华液| 亚洲欧美精品自产自拍| 女的被弄到高潮叫床怎么办| 国产精品三级大全| 国产成人精品福利久久| 欧美xxxx性猛交bbbb| 精品久久久久久电影网| 免费看不卡的av| 插阴视频在线观看视频| 国产一区二区三区av在线| 精品久久久噜噜| 中文字幕av电影在线播放| av网站免费在线观看视频| 亚洲美女搞黄在线观看| 搡老乐熟女国产| 色网站视频免费| 色视频www国产| 精品午夜福利在线看| 黄色一级大片看看| 少妇人妻精品综合一区二区| 草草在线视频免费看| 国产精品不卡视频一区二区| 人妻人人澡人人爽人人| 午夜av观看不卡| 国产淫语在线视频| 嫩草影院入口| 在线观看免费日韩欧美大片 | 欧美精品人与动牲交sv欧美| 内地一区二区视频在线| 久久久精品94久久精品| av天堂中文字幕网| 另类精品久久| 国产精品免费大片| 国产高清不卡午夜福利| 免费看av在线观看网站| 少妇的逼好多水| 欧美最新免费一区二区三区| 99热全是精品| av又黄又爽大尺度在线免费看| 精品人妻熟女毛片av久久网站| 女性被躁到高潮视频| 搡女人真爽免费视频火全软件| 少妇被粗大的猛进出69影院 | 日日啪夜夜撸| 新久久久久国产一级毛片| 日韩成人av中文字幕在线观看| 免费观看av网站的网址| 三上悠亚av全集在线观看 | 黄色日韩在线| 性色av一级| 免费久久久久久久精品成人欧美视频 | 国产伦理片在线播放av一区| 春色校园在线视频观看| 26uuu在线亚洲综合色| 蜜桃在线观看..| 婷婷色综合www| 欧美bdsm另类| av视频免费观看在线观看| 日韩免费高清中文字幕av| 成人黄色视频免费在线看| 午夜视频国产福利| 久久国内精品自在自线图片| 国产午夜精品久久久久久一区二区三区| 欧美97在线视频| 99九九在线精品视频 | 午夜影院在线不卡| 国产成人a∨麻豆精品| 街头女战士在线观看网站| 99久久精品一区二区三区| 久久午夜福利片| 国产午夜精品久久久久久一区二区三区| 成年女人在线观看亚洲视频|