• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    淺談網(wǎng)站SQL注入攻擊防護策略研究

    2016-05-19 13:22李虎軍
    電腦知識與技術(shù) 2016年8期
    關(guān)鍵詞:網(wǎng)站數(shù)據(jù)庫系統(tǒng)

    李虎軍

    摘要:針對動態(tài)網(wǎng)頁生成時存在的安全漏洞,該文簡要介紹了網(wǎng)站SQL注入攻擊的原理、攻擊常用方法,并在此基礎(chǔ)上對如何防范對目標網(wǎng)站數(shù)據(jù)庫系統(tǒng)進行注入攻擊給出了一些防御方法,以期抵御網(wǎng)站所受的注入攻擊,更好地保護Web網(wǎng)站安全和應(yīng)用。

    關(guān)鍵詞:網(wǎng)站; SQL注入;攻擊;數(shù)據(jù)庫系統(tǒng)

    中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)08-0001-03

    隨著互聯(lián)網(wǎng)的飛速發(fā)展,對網(wǎng)站進行SQL注入攻擊的事件層出不窮。2009年2月,據(jù)稱羅馬尼亞黑客團伙利用數(shù)據(jù)庫注入攻擊技術(shù)分別攻擊了F-Secure、BT.com、CNET.com等知名網(wǎng)站。為美國1萬多家公司提供工資服務(wù)的美國PayChoice公司,在受到網(wǎng)站SQL注入攻擊后暫時被迫關(guān)閉其全部網(wǎng)站。Open Web Application Security Project Top 10 for 2013報告稱,注入漏洞攻擊已成為十大網(wǎng)站攻擊之首。

    1 網(wǎng)站SQL注入攻擊原理

    網(wǎng)站SQL注入攻擊,是別有用心的人先使用搜索引擎定位網(wǎng)頁中包含的動態(tài)ASP腳本,測試目標網(wǎng)站的網(wǎng)頁腳本是否存在數(shù)據(jù)庫注入漏洞并確定注入點,最終試圖遍歷目標網(wǎng)站后臺數(shù)據(jù)庫的所有文本字段,獲取目標數(shù)據(jù)庫中用戶名和密碼,進而非法登錄目標網(wǎng)站計算機系統(tǒng),達到惡意目的。一旦攻擊得逞,被攻擊站點就會被入侵、泄密、破壞,甚至也可能成為惡意軟件的分發(fā)點。網(wǎng)站注入攻擊以網(wǎng)站數(shù)據(jù)庫為目標,一般利用Web應(yīng)用程序?qū)μ厥庾址^濾不完全的缺陷,通過精心構(gòu)造的字符串達到非法訪問網(wǎng)站數(shù)據(jù)庫內(nèi)容或在數(shù)據(jù)庫中執(zhí)行命令的目的。

    假設(shè)有語句str="SELECT * FROM user WHERE name=' "+username+" ' and pwd=' "+PassWord+" '; " ,該語句含義是:將用戶輸入的用戶名(存儲在變量username中)和登錄口令(存儲在變量PassWord中)進行數(shù)據(jù)庫檢索驗證,如果相應(yīng)的用戶名和登錄口令正確,則該語句能返回正確的檢索信息,否則,檢索結(jié)果為空(意味著身份驗證失敗)。以下兩種情況都可實現(xiàn)注入攻擊。

    如果將username賦值如下: username="1'or 1=1--",將PassWord賦值任意字符串,則程序在進行變量替換后,str中實際存放的字符串為:str="SELECT * FROM user WHERE name='1' OR 1=1-- and pwd=' 任意字符串'; "。表達式name='1' OR 1=1值為真,其后驗證密碼部分被注釋掉,則strSQL中實際存放的字符串相當(dāng)于:str="SELECT * FROM user ;",就相當(dāng)于不需對用戶輸入的用戶名和密碼進行驗證。

    如果在正常瀏覽網(wǎng)頁的URL地址http://xx.xx.xx.xx/abd.asp?id=KK后添加“and 1=1”時網(wǎng)頁如果無變化,而當(dāng)添加“ and 1=2”時網(wǎng)頁出現(xiàn)錯誤,則說明該網(wǎng)頁存在注入漏洞。當(dāng)添加“and 1=(SELECT is_srvrolemember('sysadmin'))”時頁面訪問正常,則說明連接數(shù)據(jù)庫的用戶權(quán)限為sysadmin,可以執(zhí)行數(shù)據(jù)庫命令,表明存在注入權(quán)限為系統(tǒng)管理員漏洞。此時,如果添加的語句為“;exec master..xp_cmdshell 'net user test 123/add '--” ,則URL地址中包含的SQL語句就可以在數(shù)據(jù)庫中創(chuàng)建一個名為test、登錄口令為123的用戶。黑客即可利用新建的用戶text上傳木馬至目標主機,為后續(xù)非法攻擊奠定基礎(chǔ)。

    2 網(wǎng)站SQL注入攻擊

    2.1 SQL注入漏洞與位置探測

    一般來說,帶有參數(shù)的動態(tài)網(wǎng)頁并且此網(wǎng)頁的生成需要訪問數(shù)據(jù)庫系統(tǒng),則很有可能存在SQL注入漏洞。如果網(wǎng)站設(shè)計程序員安全意識不強,沒有過濾掉一些輸入的特殊字符,則存在SQL注入的可能性就非常大。通常在頁面URL地址處添加“and 1=1”、“ and 1=2”以及單雙引號等一些特殊字符,并通過網(wǎng)頁瀏覽器所返回的信息來判斷目標網(wǎng)站是否存在SQL注入漏洞。如果網(wǎng)站程序員對單引號進行了過濾,則攻擊者還可以采用:如用SELect代替select、SELECT的大小寫混合法;在IE中將輸入的字符串變成UNICODE字符串進行輸入,如將+換成%2b、將空格換成 %20的UNICODE法;把輸入的字符用ASCII碼代替,例如將字符A換成chr(65)的 ASCII碼法。

    2.2 判斷網(wǎng)站后臺數(shù)據(jù)庫的相關(guān)信息

    在進行SQL注入攻擊前,需要先識別被攻擊網(wǎng)站后臺所用數(shù)據(jù)庫管理系統(tǒng)的類型和版本??梢酝ㄟ^網(wǎng)站所用的開發(fā)語言判斷后臺數(shù)據(jù)庫類型。例如基于ASP或者ASP.NET技術(shù)所開發(fā)的網(wǎng)站通常用Microsoft SQL SERVER作為網(wǎng)站后臺數(shù)據(jù)庫管理系統(tǒng)。也可通過網(wǎng)站的部署環(huán)境進行判斷,如果是運行在Linux操作系統(tǒng)上的Apache應(yīng)用服務(wù)器,則網(wǎng)站很可能使用的是MySQL數(shù)據(jù)庫。如果網(wǎng)站開發(fā)者沒有向瀏覽者屏蔽錯誤消息,則通過在URL中附加一些字符使網(wǎng)站后臺數(shù)據(jù)庫系統(tǒng)產(chǎn)生語法錯誤消息并將相應(yīng)信息返回到訪問頁面,則攻擊者可以根據(jù)返回的錯誤消息來判斷是那類數(shù)據(jù)庫管理系統(tǒng)。還可以利用不同數(shù)據(jù)庫管理系統(tǒng)的獨特SQL語法進行判斷。例如, MySQL支持select 'a'+'b' 和select concat('a','b');Oracle數(shù)據(jù)庫支持select 'a' ||'b'和select concat('a','b')。

    判斷出數(shù)據(jù)庫管理系統(tǒng)類型之后,可通過查詢語句獲取版本信息。如果是MySQL數(shù)據(jù)庫則可發(fā)送select version( )。也可通過判別系統(tǒng)表方式判斷數(shù)據(jù)庫類型,Access數(shù)據(jù)庫的系統(tǒng)表是msysobjects,SQL Server數(shù)據(jù)庫的系統(tǒng)表是sysobjects,系統(tǒng)變量有user和db_name( )。通過讀取上述表和變量的方式判斷網(wǎng)站后臺數(shù)據(jù)庫管理系統(tǒng)類型。通過http://xx.xx.xx.xx/abc.asp?id=KK and( select db_name( ))>0,可以得到目標網(wǎng)站當(dāng)前連接的數(shù)據(jù)庫名。獲知了網(wǎng)站后臺數(shù)據(jù)庫的相關(guān)信息,為后續(xù)有針對性地采取對應(yīng)入侵方式打下基礎(chǔ)。

    2.3 確定目標網(wǎng)站主機目錄

    為了上傳木馬程序到目標網(wǎng)站,需先找到目標網(wǎng)站的Web虛擬目錄,并將木馬程序上傳其中,使木馬程序得到運行,從而創(chuàng)建目標網(wǎng)站后門。通常有兩種方法:

    1)根據(jù)經(jīng)驗猜解。一般來說,Web虛擬目錄可能是c:\inetpub\wwwroot或是d:\inetpub\wwwroot等,而可執(zhí)行虛擬目錄可能是c:\inetpub\scripts或是d:\inetpub\scripts等。

    2)通過遍歷目標網(wǎng)站主機的目錄結(jié)構(gòu),分析相關(guān)數(shù)據(jù)發(fā)現(xiàn)目標主機的Web虛擬目錄。可以利用xp_availablemedia獲取當(dāng)前所有驅(qū)動器;接著利用xp_subdirs獲得子目錄列表;然后利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu)。

    2.4獲取用戶賬戶信息與口令

    許多Web網(wǎng)站為了維護方便,提供了遠程管理功能,對于不同用戶有不同的訪問權(quán)限。為了以合法用戶身份登錄目標網(wǎng)站,需要獲取目標網(wǎng)站的用戶名和登錄口令。用戶名與口令通常存儲在數(shù)據(jù)庫才一張表中。首先找到系統(tǒng)存放用戶名和口令的表,這里假設(shè)該表名為Stable。

    1)猜解表中用戶名字段名和口令字段名。在Stable表中必定存在一個用戶名字段和一個登錄口令字段,只有首先得到這兩個字段的名稱,后續(xù)才能設(shè)法得到這兩個字段的內(nèi)容。

    假設(shè)有:http://xx.xx.xx.xx/abc.asp?id=KK and( SELECT top 1 col_name (object_id('Stable'),1) FROM TestDB.dbo.sysobjects)>0,該注入語句是從系統(tǒng)表sysobjects中得到表Stable的第一個字段名。當(dāng)與整數(shù)進行比較時,該URL訪問異常,但在異常中卻可以發(fā)現(xiàn)想要的字段名稱。把col_name(object_id('Stable'),1)中的1依次替換為2、3、……就可以得到Stable表中所有的字段名稱。

    2)猜測用戶名和口令

    可以采用ASCII碼逐字解碼,先猜測字段的長度,然后異常猜測出每一位的值。以猜測用戶名為例。http://xx.xx.xx.xx/abc.asp?id=KK and( SELECT top 1用戶名字段FROM TestDB.dbo.Stable)=YY(YY=1、2、3、……),若YY為i值且abc.asp運行正常,則i就是第一個用戶名的長度。

    猜測用戶名的第一個字符(猜測口令同理):http://xx.xx.xx.xx/abc.asp?id=KK and(SELECT top 1 ascii(substring(username,1,1) FROM TestDB.dbo.Stable)=XX,若XX為某i值且abc.asp運行正常,則i就是對應(yīng)字符的ASCII碼值。

    通過上述操作,可獲得目標網(wǎng)站的用戶名與口令。

    3 防御SQL注入策略

    網(wǎng)站SQL注入攻擊主要針對運行在目標計算機應(yīng)用層的Web應(yīng)用程序,因此對于絕大多數(shù)防火墻來說,這種攻擊是“合法”的(使用合法的HTTP協(xié)議)。為更好地防御SQL注入攻擊需要在設(shè)計網(wǎng)站、進行編程時進行完善。因此在設(shè)計網(wǎng)站、編寫Web應(yīng)用程序時,應(yīng)遵循以下策略以減少SQL注入漏洞。

    3.1 SQL注入攻擊的檢測

    SQL注入攻擊的檢測分為網(wǎng)站被入侵前的檢測和被入侵后的檢測。被入侵前的檢測,既可以采用手工方式,也可以采用SQL注入工具軟件。對于被SQL注入攻擊后的檢測,主要通過對日志的檢測來發(fā)現(xiàn)攻擊活動。因為SQL注入攻擊成功后,都會在網(wǎng)站的IIS日志和數(shù)據(jù)庫系統(tǒng)中留下“痕跡”。 檢測的目的是為預(yù)防SQL注入攻擊。

    1)數(shù)據(jù)庫系統(tǒng)檢查

    使用NBSI、HDSI等軟件進行SQL注入攻擊后,都會在目標主機的數(shù)據(jù)庫系統(tǒng)中生成臨時表。通過查看目標主機的數(shù)據(jù)庫系統(tǒng)中最近新建表的結(jié)構(gòu)和內(nèi)容,通常可以判斷出是否被SQL注入攻擊過。

    2)Internet 信息服務(wù)(IIS)日志檢查

    如果網(wǎng)站主機系統(tǒng)啟用了日志記錄,則IIS 日志中存有訪問者的IP地址、所訪問文件等訪問信息;SQL注入攻擊者往往會大量訪問某一個存在SQL注入漏洞的動態(tài)網(wǎng)頁,則IIS日志文件內(nèi)容會快速增加。通過查看IIS日志文件的大小變化以及IIS日志文件中的內(nèi)容,也能判斷是否被SQL注入攻擊過。

    3)通過其他相關(guān)信息進行判斷

    在SQL注入攻擊成功后,攻擊者通常會在目標主機系統(tǒng)中添加用戶、開放遠程服務(wù)以及安裝運行木馬等。可以通過檢查系統(tǒng)用戶賬號、遠程服務(wù)開啟情況、系統(tǒng)最近產(chǎn)生的文件等信息來判斷是否被入侵過。

    3.2 參數(shù)化語句

    ASP網(wǎng)站易受到SQL注入攻擊的原因是攻擊者將惡意的SQL語句以合法的字符串形式利用網(wǎng)站系統(tǒng)動態(tài)構(gòu)造SQL語句的特點使后臺數(shù)據(jù)庫系統(tǒng)執(zhí)行。大多數(shù)網(wǎng)站編程語言和數(shù)據(jù)庫訪問API允許使用占位符或通過綁定變量來向數(shù)據(jù)庫系統(tǒng)的查詢命令提供參數(shù),而不僅僅是對用戶的輸入直接進行操作;即使用戶輸入的參數(shù)中含有分號、注釋符號、SELECT等一些SQL關(guān)鍵字,也要被轉(zhuǎn)義成一般字符進行處理,這種處理方式通常被稱為參數(shù)化查詢。此方法是一種較為安全的動態(tài)字符串構(gòu)造方法,參數(shù)化查詢可以避免網(wǎng)站URL中常見的SQL注入攻擊問題。

    3.3 過濾特殊字符

    在SQL注入攻擊前進行漏洞探測時,攻擊者需要在提交的參數(shù)中包含一些特殊字符,在實施SQL注入時,SQL語句中往往需要包含“'”、“;”、“or”、“--”、“select”、“add”、“xp_”等字符。防范SQL注入攻擊的最有效的方法是對用戶的輸入內(nèi)容進行安全檢查。根據(jù)參數(shù)的類型,將用戶輸入的單引號、雙引號、分號、逗號、冒號、連接號等進行轉(zhuǎn)換或過濾,可以防止很多SQL注入攻擊。例如對單引號過濾,可以將單引號轉(zhuǎn)換成兩個單引號,此舉將導(dǎo)致用戶提交的數(shù)據(jù)在進行SQL語句查詢時出現(xiàn)語法錯誤;也可以將單引號轉(zhuǎn)換成空格,對用戶輸入提供數(shù)據(jù)進行嚴格限制。上述方法將導(dǎo)致SQL注入失敗。

    3.4 最小權(quán)限原則

    為防止網(wǎng)站訪問用戶濫用權(quán)限,應(yīng)該只給網(wǎng)頁訪問數(shù)據(jù)庫系統(tǒng)所需的最小權(quán)限。如果網(wǎng)頁不需要訪問數(shù)據(jù)庫中的某些表,則應(yīng)該明確網(wǎng)頁沒有訪問這些表的權(quán)限;如果網(wǎng)頁只需要讀權(quán)限,則應(yīng)確認其無表的更改等權(quán)限。如果網(wǎng)頁程序需訪問數(shù)據(jù)庫系統(tǒng),則其不應(yīng)使用sa、root、system等系統(tǒng)管理員賬號,而應(yīng)該使用普通用戶賬號,并且根據(jù)實際需要嚴格設(shè)置其權(quán)限。對于只讀操作,則只分配select權(quán)限,而不要分配insert、update、delete等這些具有修改功能的權(quán)限。即便網(wǎng)站被攻擊泄露了數(shù)據(jù),數(shù)據(jù)也不會被破壞。特別注意,Web應(yīng)用程序所使用的存儲過程和函數(shù)的權(quán)限,也要遵循最小權(quán)限原則。運行在操作系統(tǒng)上的數(shù)據(jù)庫應(yīng)用程序也要被設(shè)置成最小權(quán)限。還應(yīng)關(guān)閉數(shù)據(jù)庫中的額外功能,例如在SQL SERVER中,應(yīng)關(guān)閉xp_cmdshell以及xp_reg*等存儲過程的運行。確保操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)漏洞已得到修補,系統(tǒng)已更新了最新的補丁。

    3.5規(guī)范化輸入

    攻擊者也可以通過發(fā)送輸入數(shù)據(jù)前對其進行編碼,然后再對其進行解碼和解釋的方式,來達到攻擊目的。對上述方式中所輸入的數(shù)據(jù)進行驗證是比較難處理的。例如在UNICODE中SQL注入常將雙引號用"%u0022"表示。為規(guī)范化輸入,可以通過白名單驗證的方式過濾掉所有不符合規(guī)定的輸入內(nèi)容。但當(dāng)SQL注入攻擊字符串是符合格式要求的字符串時,就需要尋找編碼方法或其他輸入方法來保證接收的字符串是安全的??梢韵葘⑤斎氲淖址M行解碼,當(dāng)解碼后的字符串中還存有經(jīng)過編碼的字符時,則認為該字符串為非法輸入。另外,每種數(shù)據(jù)庫管理系統(tǒng)都有一個字符轉(zhuǎn)義機制來判斷輸入的內(nèi)容是數(shù)據(jù)而不是代碼,則可以對用戶所有輸入的字符串進行轉(zhuǎn)義,那么數(shù)據(jù)庫系統(tǒng)就不會混淆數(shù)據(jù)和代碼,也就不易出現(xiàn)被SQL注入攻擊了。

    3.6 網(wǎng)站服務(wù)器設(shè)置

    SQL注入攻擊很多時候是根據(jù)目標服務(wù)器給出的錯誤信息進行判斷、入侵的,網(wǎng)站服務(wù)器端配置應(yīng)將錯誤提示信息的反饋功能關(guān)閉,使得攻擊者只能進行盲注入,大大提高注入攻擊的難度。同時,要利用IIS日志服務(wù),及時發(fā)現(xiàn)SQL注入攻擊痕跡。數(shù)據(jù)庫名、表名、字段名的命名要避免采用默認或通用的名稱,避免給注入者留下可乘之機。對系統(tǒng)的用戶和角色合理授權(quán),嚴格用戶最小權(quán)限原則。 刪除網(wǎng)站主機不使用的賬戶,防止攻擊者通過這些賬戶來獲得目標服務(wù)器上的數(shù)據(jù)和應(yīng)用程序的訪問權(quán)。系統(tǒng)必須使用強密碼,以增加攻擊者進行暴力攻擊的難度。在網(wǎng)站服務(wù)器系統(tǒng)中適當(dāng)設(shè)置假用戶,誘騙攻擊者,增加攻擊難度。禁止將敏感性數(shù)據(jù)以明文存放在數(shù)據(jù)庫中,通過哈希函數(shù)加密后存放,或通過RSA提供的加解密API在讀取/寫入數(shù)據(jù)時進行解密/加密處理,進行這樣即使數(shù)據(jù)庫被SQL注入漏洞攻擊,也會減少泄密的風(fēng)險。

    將網(wǎng)站后臺存放文本的目錄的執(zhí)行權(quán)限均設(shè)置為“無”,即使網(wǎng)站該目錄被上傳了木馬,該木馬也不能運行。將Web應(yīng)用的根目錄和虛擬目錄轉(zhuǎn)移到非系統(tǒng)分區(qū),以防被目錄遍歷攻擊。Web管理員必須通過本地登錄方式管理Web服務(wù)器。經(jīng)常使用漏洞掃描工具和網(wǎng)站監(jiān)視工具對網(wǎng)站進行監(jiān)測和查找漏洞,保護網(wǎng)站的安全。

    4 結(jié)束語

    本文從SQL注入攻擊的基本原理和過程描述了SQL注入攻擊可能對網(wǎng)站系統(tǒng)造成的各種破壞,以及相關(guān)攻擊過程和手段,重點闡述了如何有效防范SQL注入攻擊的策略和措施,以便有效防范SQL注入攻擊,更好地保護Web網(wǎng)站安全。

    參考文獻:

    [1] 黃景文.SQL注入攻擊的一個新的防范策略[J].微計算機信息,2008(6):31-32.

    [2] 查凱.基于標識的SQL注入攻擊防御方法[J].信息安全與通信保密,2011(6):54-55.

    [3] 黃健.計算機信息安全技術(shù)及防護[J].信息安全與技術(shù),2012(4):83-85.

    猜你喜歡
    網(wǎng)站數(shù)據(jù)庫系統(tǒng)
    Oracle數(shù)據(jù)庫系統(tǒng)的性能優(yōu)化研究
    數(shù)據(jù)庫系統(tǒng)shell腳本應(yīng)用
    微細銑削工藝數(shù)據(jù)庫系統(tǒng)設(shè)計與開發(fā)
    江蘇省ETC數(shù)據(jù)庫系統(tǒng)改造升級方案探討
    實時數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)安全采集方案
    河洛文化旅游資源外宣網(wǎng)站日譯現(xiàn)狀調(diào)查及對策研究
    核反應(yīng)堆材料數(shù)據(jù)庫系統(tǒng)及其應(yīng)用
    亚洲人成网站在线播| 久久精品人妻少妇| av黄色大香蕉| 亚洲av成人av| 国产一级毛片在线| 亚洲欧洲国产日韩| 国产在线精品亚洲第一网站| av国产免费在线观看| 中文字幕制服av| 国产精品免费一区二区三区在线| 一本精品99久久精品77| 久久这里只有精品中国| 免费观看精品视频网站| 国产精品三级大全| 久久久欧美国产精品| 亚洲五月天丁香| 欧美又色又爽又黄视频| 成年女人看的毛片在线观看| 中国美白少妇内射xxxbb| 老师上课跳d突然被开到最大视频| 乱系列少妇在线播放| 99久久无色码亚洲精品果冻| 淫秽高清视频在线观看| 国内揄拍国产精品人妻在线| 日韩人妻高清精品专区| 岛国毛片在线播放| 国产激情偷乱视频一区二区| 天堂中文最新版在线下载 | 日本黄色片子视频| 国产淫片久久久久久久久| 精品久久久久久久末码| 亚洲国产欧美人成| 丰满人妻一区二区三区视频av| 国产极品天堂在线| 免费观看在线日韩| 少妇高潮的动态图| 国内精品久久久久精免费| 99热6这里只有精品| av在线播放精品| 亚洲欧洲日产国产| 色噜噜av男人的天堂激情| 天堂中文最新版在线下载 | 免费人成视频x8x8入口观看| 国产伦精品一区二区三区视频9| 在线观看av片永久免费下载| 亚洲国产精品合色在线| 中文字幕av在线有码专区| 精品人妻一区二区三区麻豆| 蜜桃亚洲精品一区二区三区| 亚洲国产色片| 18禁裸乳无遮挡免费网站照片| 国产黄色小视频在线观看| 波多野结衣高清作品| 黄片wwwwww| 人妻夜夜爽99麻豆av| 黄色日韩在线| 三级国产精品欧美在线观看| 国产女主播在线喷水免费视频网站 | 国产v大片淫在线免费观看| 97在线视频观看| 最近视频中文字幕2019在线8| 最近中文字幕高清免费大全6| 国国产精品蜜臀av免费| 国产精品无大码| 成年女人看的毛片在线观看| 亚洲性久久影院| 欧美成人精品欧美一级黄| 国模一区二区三区四区视频| 亚洲熟妇中文字幕五十中出| 久久婷婷人人爽人人干人人爱| 午夜福利在线在线| 少妇熟女aⅴ在线视频| a级一级毛片免费在线观看| 成人亚洲精品av一区二区| 精品人妻视频免费看| 欧美丝袜亚洲另类| 狂野欧美激情性xxxx在线观看| 在线观看av片永久免费下载| 美女脱内裤让男人舔精品视频 | 亚洲国产精品合色在线| 久久精品国产亚洲av天美| 国产精品蜜桃在线观看 | 免费人成视频x8x8入口观看| 久久99热这里只有精品18| 日韩成人伦理影院| 午夜免费男女啪啪视频观看| 又黄又爽又刺激的免费视频.| 女的被弄到高潮叫床怎么办| 日韩欧美精品免费久久| 精品免费久久久久久久清纯| 深夜精品福利| av免费观看日本| 欧美日韩一区二区视频在线观看视频在线 | 日韩欧美精品v在线| 悠悠久久av| 小说图片视频综合网站| 九九在线视频观看精品| 麻豆成人av视频| 尾随美女入室| 欧美极品一区二区三区四区| 狂野欧美白嫩少妇大欣赏| 麻豆国产av国片精品| 亚洲最大成人手机在线| 中文欧美无线码| 成人高潮视频无遮挡免费网站| 深夜a级毛片| 欧美bdsm另类| 22中文网久久字幕| 国产熟女欧美一区二区| 亚洲人成网站在线播放欧美日韩| 在线观看66精品国产| 波野结衣二区三区在线| 国产精品不卡视频一区二区| 成人美女网站在线观看视频| 久久人人爽人人片av| 26uuu在线亚洲综合色| 男女啪啪激烈高潮av片| 波多野结衣高清无吗| 国产精品无大码| 一进一出抽搐gif免费好疼| 熟妇人妻久久中文字幕3abv| 午夜视频国产福利| 亚洲国产精品国产精品| 欧美色欧美亚洲另类二区| 国产高清视频在线观看网站| 亚洲精品乱码久久久久久按摩| 亚洲成人av在线免费| 熟女电影av网| 中文亚洲av片在线观看爽| 国产亚洲精品久久久久久毛片| 九九爱精品视频在线观看| 一本久久中文字幕| 麻豆国产av国片精品| 亚洲欧美日韩高清专用| 国产淫片久久久久久久久| 亚洲精品影视一区二区三区av| 免费av毛片视频| 精品一区二区免费观看| 2021天堂中文幕一二区在线观| 又粗又爽又猛毛片免费看| 国产女主播在线喷水免费视频网站 | 波野结衣二区三区在线| 成人高潮视频无遮挡免费网站| 成年版毛片免费区| 日本熟妇午夜| 熟妇人妻久久中文字幕3abv| 变态另类成人亚洲欧美熟女| 国产一级毛片七仙女欲春2| 国产爱豆传媒在线观看| 日产精品乱码卡一卡2卡三| 99热网站在线观看| 草草在线视频免费看| av免费观看日本| 久久这里只有精品中国| 青青草视频在线视频观看| 日本免费a在线| 亚洲欧美清纯卡通| 麻豆成人午夜福利视频| 极品教师在线视频| 别揉我奶头 嗯啊视频| 赤兔流量卡办理| 三级男女做爰猛烈吃奶摸视频| 国产三级中文精品| 国产精品久久久久久亚洲av鲁大| 欧美xxxx性猛交bbbb| 欧美一区二区精品小视频在线| 欧美日韩综合久久久久久| 麻豆成人av视频| 91狼人影院| 国产黄片美女视频| 国产精品乱码一区二三区的特点| 欧美+日韩+精品| 国产成人a区在线观看| 级片在线观看| 日韩视频在线欧美| 黄色配什么色好看| 国产成人福利小说| 人妻久久中文字幕网| 亚洲成av人片在线播放无| 大型黄色视频在线免费观看| 91狼人影院| 日日摸夜夜添夜夜添av毛片| 一级二级三级毛片免费看| 国产精品久久久久久亚洲av鲁大| 99久久精品一区二区三区| 亚洲精华国产精华液的使用体验 | 老熟妇乱子伦视频在线观看| 麻豆成人av视频| 国产精品.久久久| 伦理电影大哥的女人| 三级经典国产精品| 欧美不卡视频在线免费观看| 免费无遮挡裸体视频| 国语自产精品视频在线第100页| 国产色爽女视频免费观看| 干丝袜人妻中文字幕| 又爽又黄无遮挡网站| 亚洲欧美日韩东京热| 午夜福利在线观看免费完整高清在 | av在线观看视频网站免费| 亚洲欧美成人综合另类久久久 | 亚洲欧美成人综合另类久久久 | 亚洲自拍偷在线| 一区福利在线观看| 亚洲av.av天堂| 九九热线精品视视频播放| 国产精品精品国产色婷婷| 日日干狠狠操夜夜爽| 性插视频无遮挡在线免费观看| 免费观看的影片在线观看| 亚洲成人久久爱视频| 如何舔出高潮| 色综合色国产| 国内揄拍国产精品人妻在线| 日日干狠狠操夜夜爽| 尤物成人国产欧美一区二区三区| 成年女人看的毛片在线观看| 国产成人福利小说| 一级黄片播放器| 国产乱人偷精品视频| 看免费成人av毛片| 国内少妇人妻偷人精品xxx网站| 亚洲av免费在线观看| 日韩高清综合在线| av在线老鸭窝| 岛国毛片在线播放| 亚洲精品日韩在线中文字幕 | 亚洲成人久久爱视频| 亚洲不卡免费看| 久久这里有精品视频免费| 一个人看的www免费观看视频| 一区二区三区高清视频在线| 日韩三级伦理在线观看| 高清毛片免费观看视频网站| 高清毛片免费看| 国产激情偷乱视频一区二区| 亚洲av二区三区四区| 波多野结衣高清无吗| 成年女人永久免费观看视频| 简卡轻食公司| 十八禁国产超污无遮挡网站| 国产精品人妻久久久久久| 日本成人三级电影网站| 天天躁夜夜躁狠狠久久av| 日韩欧美一区二区三区在线观看| 精品久久国产蜜桃| 成人无遮挡网站| 欧美3d第一页| 国产精品野战在线观看| 成人亚洲欧美一区二区av| 久久久午夜欧美精品| 五月玫瑰六月丁香| 欧美在线一区亚洲| 国产片特级美女逼逼视频| 丝袜喷水一区| 亚洲国产高清在线一区二区三| 国产精品无大码| 天堂√8在线中文| 欧美性猛交╳xxx乱大交人| 免费观看人在逋| 国产淫片久久久久久久久| 国产视频内射| 18禁裸乳无遮挡免费网站照片| 国产 一区精品| 黑人高潮一二区| 搡老妇女老女人老熟妇| 国产白丝娇喘喷水9色精品| 亚洲精品乱码久久久久久按摩| 欧美zozozo另类| 免费看日本二区| 亚洲在久久综合| 国产乱人视频| 又粗又硬又长又爽又黄的视频 | 最近的中文字幕免费完整| 中文字幕人妻熟人妻熟丝袜美| 欧美日韩国产亚洲二区| 国产精品综合久久久久久久免费| 九九久久精品国产亚洲av麻豆| 成人漫画全彩无遮挡| 麻豆国产av国片精品| 国产色爽女视频免费观看| 欧美最新免费一区二区三区| 亚洲激情五月婷婷啪啪| 国产一区二区在线av高清观看| 久久国内精品自在自线图片| 国产日本99.免费观看| 国产精品电影一区二区三区| 老熟妇乱子伦视频在线观看| 久久99蜜桃精品久久| 亚洲18禁久久av| 久久久国产成人精品二区| 中文在线观看免费www的网站| 国产精品久久久久久久电影| 三级国产精品欧美在线观看| 久久久久久九九精品二区国产| 长腿黑丝高跟| 男人和女人高潮做爰伦理| 中文字幕人妻熟人妻熟丝袜美| 成人高潮视频无遮挡免费网站| 国产精品福利在线免费观看| 亚洲欧洲日产国产| 1024手机看黄色片| 亚洲欧美日韩高清在线视频| 寂寞人妻少妇视频99o| 国产男人的电影天堂91| 最近手机中文字幕大全| 直男gayav资源| 三级经典国产精品| 国产不卡一卡二| 欧美一区二区国产精品久久精品| 在现免费观看毛片| 级片在线观看| 国产精品国产高清国产av| 欧美bdsm另类| 最近中文字幕高清免费大全6| 99热这里只有是精品在线观看| 欧美最黄视频在线播放免费| 亚洲成人av在线免费| 国内揄拍国产精品人妻在线| 嫩草影院入口| 丝袜喷水一区| 日韩人妻高清精品专区| 久久精品久久久久久噜噜老黄 | 欧美日韩精品成人综合77777| 国产精品三级大全| 精品人妻熟女av久视频| 色视频www国产| 久久久久久久久中文| 日韩欧美 国产精品| 精品久久久久久久久亚洲| 少妇的逼好多水| 一本久久中文字幕| 乱码一卡2卡4卡精品| 欧美日韩一区二区视频在线观看视频在线 | 能在线免费看毛片的网站| 桃色一区二区三区在线观看| 久久久欧美国产精品| 中文欧美无线码| 一个人免费在线观看电影| 亚洲精品影视一区二区三区av| 99久国产av精品| 日韩国内少妇激情av| 亚洲自拍偷在线| 97超视频在线观看视频| 美女cb高潮喷水在线观看| 国产色爽女视频免费观看| 在线a可以看的网站| 精品人妻偷拍中文字幕| 亚洲七黄色美女视频| 日本撒尿小便嘘嘘汇集6| 久久精品国产亚洲av天美| 国产老妇女一区| av.在线天堂| 久久人人爽人人爽人人片va| 久99久视频精品免费| 精品久久久久久久人妻蜜臀av| 在线观看av片永久免费下载| 一级二级三级毛片免费看| 亚洲精品456在线播放app| 午夜精品一区二区三区免费看| 欧美区成人在线视频| 亚洲一级一片aⅴ在线观看| 午夜福利在线观看吧| 内地一区二区视频在线| 亚洲中文字幕日韩| 久久婷婷人人爽人人干人人爱| 97热精品久久久久久| 中文在线观看免费www的网站| 不卡一级毛片| 国产国拍精品亚洲av在线观看| 可以在线观看的亚洲视频| 国产精品人妻久久久久久| 亚洲精品成人久久久久久| 精品欧美国产一区二区三| 波多野结衣巨乳人妻| 春色校园在线视频观看| 亚洲成a人片在线一区二区| 麻豆一二三区av精品| 国产精品福利在线免费观看| 91在线精品国自产拍蜜月| 在线播放国产精品三级| 日韩av不卡免费在线播放| 日本av手机在线免费观看| 午夜久久久久精精品| 国产极品精品免费视频能看的| 中文精品一卡2卡3卡4更新| 成人性生交大片免费视频hd| 亚洲精华国产精华液的使用体验 | 国产成人a∨麻豆精品| 高清在线视频一区二区三区 | 蜜桃久久精品国产亚洲av| 熟女电影av网| 变态另类丝袜制服| 最近的中文字幕免费完整| 久久精品国产亚洲av涩爱 | 久久精品国产99精品国产亚洲性色| av在线蜜桃| 久久久精品欧美日韩精品| 欧美高清性xxxxhd video| 国产极品精品免费视频能看的| 国产精品爽爽va在线观看网站| 免费看日本二区| 国产在线精品亚洲第一网站| av在线观看视频网站免费| 欧美成人一区二区免费高清观看| 日韩大尺度精品在线看网址| 国内精品美女久久久久久| 成人漫画全彩无遮挡| 亚洲精品乱码久久久v下载方式| 2022亚洲国产成人精品| 久久午夜亚洲精品久久| 在线a可以看的网站| 欧美在线一区亚洲| 有码 亚洲区| 美女高潮的动态| 成人毛片a级毛片在线播放| 中国美女看黄片| 久久久久久久久中文| 丰满的人妻完整版| 干丝袜人妻中文字幕| 久久人人精品亚洲av| 精品久久久久久久末码| 久久久久国产网址| 久久久精品欧美日韩精品| 大又大粗又爽又黄少妇毛片口| 高清日韩中文字幕在线| 亚洲av不卡在线观看| 村上凉子中文字幕在线| 日本撒尿小便嘘嘘汇集6| 悠悠久久av| 久久国内精品自在自线图片| 欧美日韩综合久久久久久| 国产高清有码在线观看视频| 日韩在线高清观看一区二区三区| 黑人高潮一二区| 最近最新中文字幕大全电影3| 别揉我奶头 嗯啊视频| 久久久久久久久久久免费av| 国产亚洲91精品色在线| 欧美成人精品欧美一级黄| 亚洲精品乱码久久久久久按摩| 99久国产av精品国产电影| 亚洲成人av在线免费| 日韩成人av中文字幕在线观看| 日韩视频在线欧美| 深夜精品福利| 在线播放国产精品三级| 亚洲国产精品成人综合色| 久久精品久久久久久久性| 成人高潮视频无遮挡免费网站| 成人三级黄色视频| 午夜免费激情av| 亚洲精华国产精华液的使用体验 | 国产成人影院久久av| 亚洲精华国产精华液的使用体验 | 成年免费大片在线观看| 一个人看的www免费观看视频| 国产高清视频在线观看网站| 国产视频内射| 熟女电影av网| av在线天堂中文字幕| 级片在线观看| 日产精品乱码卡一卡2卡三| 久久午夜福利片| 欧美变态另类bdsm刘玥| 日本色播在线视频| 禁无遮挡网站| 伦精品一区二区三区| 国产精品国产三级国产av玫瑰| 最近2019中文字幕mv第一页| 看十八女毛片水多多多| 国产精品国产三级国产av玫瑰| 久久精品久久久久久久性| 国产老妇女一区| 深爱激情五月婷婷| 国产精品麻豆人妻色哟哟久久 | 秋霞在线观看毛片| 国产精品1区2区在线观看.| 一边亲一边摸免费视频| 嘟嘟电影网在线观看| 亚洲一区二区三区色噜噜| 精品免费久久久久久久清纯| 成人综合一区亚洲| 国产不卡一卡二| 国产麻豆成人av免费视频| 三级经典国产精品| 综合色av麻豆| 中文字幕人妻熟人妻熟丝袜美| 国产亚洲5aaaaa淫片| 欧美成人a在线观看| 免费av观看视频| 国产精品国产三级国产av玫瑰| 久久精品国产99精品国产亚洲性色| 欧美区成人在线视频| 久久综合国产亚洲精品| 久久久精品大字幕| 色噜噜av男人的天堂激情| 一进一出抽搐动态| 非洲黑人性xxxx精品又粗又长| 麻豆成人av视频| 变态另类丝袜制服| 尤物成人国产欧美一区二区三区| 自拍偷自拍亚洲精品老妇| 久久午夜亚洲精品久久| 婷婷亚洲欧美| 国产精品爽爽va在线观看网站| 国产大屁股一区二区在线视频| 亚洲自拍偷在线| 熟女人妻精品中文字幕| 成人特级黄色片久久久久久久| 国产高清有码在线观看视频| 18+在线观看网站| 黑人高潮一二区| 欧美高清性xxxxhd video| 人人妻人人澡欧美一区二区| 在线免费十八禁| 国产熟女欧美一区二区| av视频在线观看入口| 国产精品人妻久久久久久| 国产国拍精品亚洲av在线观看| 中文字幕人妻熟人妻熟丝袜美| 国产不卡一卡二| 麻豆av噜噜一区二区三区| 久久久午夜欧美精品| 99在线视频只有这里精品首页| 国产熟女欧美一区二区| 亚洲av第一区精品v没综合| 在线播放无遮挡| 丰满乱子伦码专区| 天堂网av新在线| 亚洲综合色惰| 亚洲av电影不卡..在线观看| 只有这里有精品99| 能在线免费观看的黄片| 不卡一级毛片| 高清毛片免费观看视频网站| av天堂中文字幕网| 夜夜爽天天搞| 白带黄色成豆腐渣| 嫩草影院新地址| 亚洲欧美成人精品一区二区| 国国产精品蜜臀av免费| 国产伦精品一区二区三区四那| 国产人妻一区二区三区在| 日本黄大片高清| 亚洲国产色片| 在线观看av片永久免费下载| 少妇人妻精品综合一区二区 | 亚洲最大成人av| 中文字幕av在线有码专区| 美女xxoo啪啪120秒动态图| 中文资源天堂在线| 中国国产av一级| 免费av观看视频| 淫秽高清视频在线观看| 亚洲人成网站在线观看播放| 成人特级av手机在线观看| a级一级毛片免费在线观看| 国产成人精品婷婷| 成人一区二区视频在线观看| 中文精品一卡2卡3卡4更新| 免费观看精品视频网站| 久久久久久国产a免费观看| 久久久久久久久中文| 青青草视频在线视频观看| 亚洲欧美成人精品一区二区| 成人特级av手机在线观看| 久久亚洲国产成人精品v| 观看美女的网站| 国产免费男女视频| 欧美性感艳星| 91狼人影院| 观看美女的网站| 欧美日韩国产亚洲二区| 久久久精品欧美日韩精品| 在线国产一区二区在线| 97在线视频观看| 赤兔流量卡办理| 综合色av麻豆| 日韩欧美在线乱码| 国产精品精品国产色婷婷| 久久久欧美国产精品| a级毛片a级免费在线| 少妇的逼水好多| a级毛片免费高清观看在线播放| 午夜视频国产福利| 亚洲无线在线观看| 91狼人影院| 国产高清有码在线观看视频| 看免费成人av毛片| 欧美成人a在线观看| 国产老妇女一区| 男插女下体视频免费在线播放| 亚洲第一区二区三区不卡| 国产精品嫩草影院av在线观看| 边亲边吃奶的免费视频| 国产精品美女特级片免费视频播放器| 精品人妻偷拍中文字幕| 在线免费观看不下载黄p国产| 亚洲av中文av极速乱| 中文字幕精品亚洲无线码一区| 亚洲精品久久久久久婷婷小说 | 有码 亚洲区| 国产激情偷乱视频一区二区| 欧美性猛交黑人性爽| 97超碰精品成人国产| 免费大片18禁| 婷婷亚洲欧美| 成人无遮挡网站| 色哟哟哟哟哟哟| 最近2019中文字幕mv第一页| 国产精品久久久久久亚洲av鲁大| 国产亚洲欧美98| av国产免费在线观看| 国内久久婷婷六月综合欲色啪|