引子

很久不寫技術(shù)文章了，這次決定寫一下，起源于在微博上和@np就是p @奧卡姆剃刀對后門的討論，他們都是在IT各自領(lǐng)域深有建樹的專家，但是發(fā)現(xiàn)他們對于IT安全的理解，卻和我們這些專業(yè)從事安全領(lǐng)域的技術(shù)人員的角度和認識，存在著巨大的鴻溝。這是怎么了?我覺得作為安全領(lǐng)域的技術(shù)人員，是有義務向IT領(lǐng)域的技術(shù)人員，做相關(guān)安全的普及，換奧卡姆剃刀的話就是，【IT安全最大的問題不是普通公眾對IT安全的不理解，而是信息專業(yè)者但非安全領(lǐng)域者，他們對安全的似是而非的理解】。

但是為了寫清楚這些問題，我粗粗列了個綱要，發(fā)現(xiàn)要寫的相關(guān)的東西非常多，而且要面對非安全領(lǐng)域的人員，如何深入淺出把問題講透徹，是個很傷腦筋的問題，但既然說出來了，我還是盡力而為吧。前面先講個真實案例，目的是想讓這些信息領(lǐng)域的人理解安全的視角和他們視角的差異。

2001年，我還沒進入安全領(lǐng)域但已經(jīng)對安全感興趣開始研究了，最早研究的是WINDOWS的身份認證體系，一個月后，我寫了一個小工具，任何我們內(nèi)網(wǎng)的其他用戶的WINDOWS的主機，我都能直接用他們身份遠程用，可以獲得用戶設立的共享目錄訪問權(quán)，如果恰巧登陸用戶是管理員用戶(大多數(shù)都如此)，就可以通過\\A\C$獲得所有磁盤讀寫權(quán)和遠程安裝權(quán)限，當時我給一個對WINDOWS認證體系有研究的同事演示拿到他主機的控制權(quán)后，他認為不可思議，我怎么能從算法上破解了WINDOWS認證算法?當我把我的方法告訴他后，他說從來沒有想到過原來攻擊者是可以這樣發(fā)起攻擊的。

WINDOWS的遠程共享登錄機制如下：

A要登陸B(tài)機，輸入后，其實是A主機通過SMB協(xié)議向B發(fā)送登錄請求

B返回一條挑戰(zhàn)C’給A主機

A主機根據(jù)當前用戶名N’，用用戶口令的散列M’(如果此當前用戶登陸失敗，會跳出用戶口令提示框，根據(jù)用戶輸入的用戶N’和口令計算M’)，再配合挑戰(zhàn)C’生成新的散列M1’，將N’，M1’發(fā)送回B主機

B主機SMB內(nèi)核查找本機是否有同樣用戶名N’的用戶，查找N’用戶的散列P’，再配合挑戰(zhàn)C’生成新的散列M2’，檢查M2’和M1’是否一致，一致認證通過生成令牌，不一致拒絕。

這是認證算法體系非常知名的挑戰(zhàn)認證體系，可以有效保證AB之間都獲取不了對方的真實散列但可以實現(xiàn)登陸認證。我不是數(shù)學研究者，這些散列算法不是我的知識領(lǐng)域能夠突破的障礙，那如何能達到自己的目的呢。我想到如果一個用戶打開郵件或瀏覽網(wǎng)頁里，如果包含這樣的資源，會直接向B發(fā)起SMB的會話請求，且默認就是以當前用戶和散列自動發(fā)起，直到失敗才會跳出對話框，OK，我馬上就知道如何實現(xiàn)這個突破的，假設A是攻擊目標，B是自己的主機。給A發(fā)一封包含資源的郵件或吸引他打開一個包含網(wǎng)頁，這樣A主機會向B主機發(fā)來一個SMB認證申請，等待B主機回應挑戰(zhàn)，B主機先不回應，同時B主機也去向A主機發(fā)起的SMB認證申請，A主機回答B(yǎng)主機一個挑戰(zhàn)C’，B主機把此挑戰(zhàn)又作為A主機向B主機申請?zhí)魬?zhàn)的回應，這個時候，A主機就會用他用戶N’的散列M’和C’來計算M1’發(fā)送給B主機，然后B主機以同樣N’和M1’回答A主機，于是，B主機在無需知道M’的前提下，利用系統(tǒng)本身功能和協(xié)議自身的機制，用A機N’用戶的身份登陸A機。只要兩個主機有獨立IP打開SMB許可，也可以遠程發(fā)起攻擊，無論他密碼設定多強，這個散列計算算法再強，也無法解決的問題。

后來，我看到了國外安全研究人員2001同年也發(fā)布了SMB中繼攻擊演示，其實和我這個就是一個道理，這種問題存在了多年之后的2008年，微軟通過策略簡單限制過一下AB直接互連申請SMB的情況，但其實攻擊者如果有2臺主機B/C，B接受A的SMB請求，C發(fā)送A SMB請求，就能突破這個限制。

當然做密碼算法的人會指出：有很多可以解決這類問題的認證協(xié)議，而且一些關(guān)鍵主機使用了這樣的體系，但事實是，到現(xiàn)在為止，大多數(shù)的計算機依舊輕易可實施此類攻擊，即使使用了這樣體系的主機，攻擊者搞定工作人員的普通主機，再利用工作人員自身的權(quán)限獲得這類關(guān)鍵主機的核心數(shù)據(jù)，2011年RSA令牌種子失竊案正是如此，攻擊者通過一個NDAY漏洞的郵件搞定了RSA的HR的主機，再用HR身份發(fā)帶當時FLASH 0DAY的業(yè)務郵件給財務總監(jiān)搞定財務總監(jiān)主機，再用財務總監(jiān)身份搞定有RSA令牌種子服務器權(quán)限的管理人員主機，以此獲取了RSA令牌的種子，然后破解了美國最大軍火承包商洛克馬丁公司的RSA令牌身份認證系統(tǒng)竊取機密。

我們做安全的，每天都接觸和了解著如上我們IT體系如此脆弱的事實，并且知道隨著IT發(fā)展，我們越來越多重要的東西都依賴于這樣一個脆弱的環(huán)境，因此充滿了恐懼;或許他們都只是風險(技術(shù)可行)還沒有成為大規(guī)模的事實(攻擊者實施意愿，其實在我看來攻擊事實已經(jīng)夠多了，只是出于危害感知、攻擊取證以及攻擊者控制而非破壞意圖沒有浮出水面而已)，但是當醫(yī)療的心臟起搏器、汽車的控制系統(tǒng)、你家的煤氣管道、高鐵的自控系統(tǒng)都開始依賴于這些脆弱的IT系統(tǒng)時，未來的人類社會，是否能夠承受的起這樣的風險事實。#p#

安全研究者的安全視角

要理解安全研究者的視角，就需要脫離開單純從加密這個視角思維來看待安全，而要從結(jié)合計算機體系角度來看待安全，這個角度看待，其實更容易理解我們安全研究者的視角，其實本質(zhì)不應該如此嗎?

計算機體系是基于代碼邏輯控制，處理信息和對外控制的系統(tǒng)，雖然核心資產(chǎn)主要落腳在信息(控制系統(tǒng)不一定落在這里)，但信息只是被動體，運算與控制才是是主動體。控制失手，信息亦失手，很多信息領(lǐng)域的談it安全，只側(cè)重信息角度，以為加密是安全的全部至少大部，但我觀點正好相反，基于計算機控制的安全問題才是it安全核心。它很難靠加密體系解決。因為在計算機體系下，信息是參與條件，處理對象，處理結(jié)果。信息很難在控制處理的過程中保持加密狀態(tài)，信息對控制必須無密化，攻擊者拿到了控制，自然獲得控制處理過程里的信息和篡改流經(jīng)的信息。加密保障的是信息在存儲，認證，傳輸中的安全，但難以保安全障控制處理中的信息安全

因此IT系統(tǒng)的安全，未結(jié)合計算機體系的控制視角而只是從數(shù)學加密體系的信息視角看待，是導致我們當前安全體系如此脆弱的一個重大原因。

◆從計算機架構(gòu)角度看安全

我們現(xiàn)在通用的計算機體系，都來自馮諾伊曼。馮諾伊曼體系的關(guān)鍵特點如下

(1)把計算機要執(zhí)行的指令和要處理的數(shù)據(jù)都采用二進制表示(指令也是數(shù)據(jù)，數(shù)據(jù)也可以當指令)

(2)把要執(zhí)行的指令和要處理的數(shù)據(jù)按照順序編成程序存儲到計算機內(nèi)部讓它自動執(zhí)行。(數(shù)據(jù)和控制體系、指令混雜，數(shù)據(jù)可以影響指令和控制)

(3)程序依據(jù)程序員代碼設定的邏輯，接受外部的輸入進行計算，并對結(jié)果進行輸出(程序的行為取決程序員編碼邏輯與外部輸入數(shù)據(jù)驅(qū)動的分支路徑選擇)

在馮諾伊曼體系下，我們可以看到安全相關(guān)的特性

1)指令也是數(shù)據(jù)，數(shù)據(jù)也可以當指令：意味著指令是可以被數(shù)據(jù)篡改(病毒感染)、外部數(shù)據(jù)可以做指令植入(木馬植入、數(shù)據(jù)區(qū)執(zhí)行、程序自修改)

2)數(shù)據(jù)和控制體系、指令混雜：意味著數(shù)據(jù)區(qū)域的紊亂越界可以影響控制與指令(數(shù)據(jù)處理邊界缺乏檢查越界可以導致代碼執(zhí)行的安全問題)

3)程序的行為取決程序員編碼邏輯與外部輸入數(shù)據(jù)驅(qū)動的分支路徑選擇：意味著程序員可以依據(jù)自己的主觀意志實現(xiàn)功能與邏輯(后門)、輸入者通過數(shù)據(jù)觸發(fā)特定分支也是可能(后門、業(yè)務邏輯漏洞)

可以看到，基于馮諾伊曼體系下的計算機體系的基礎(chǔ)架構(gòu)里，就天然決定了安全漏洞、木馬、后門這些安全問題是難以根除的。通過漏洞、后門，攻擊者可以完全獲得控制代碼執(zhí)行和程序行為，通過木馬可以長期控制系統(tǒng)行為，通過業(yè)務邏輯漏洞可以獲得攻擊者特定的業(yè)務目的，這些安全問題，最多只能用加密來部分緩解但無法根本解決。加密保護針對的是信息，因此比較適合的領(lǐng)域是存儲數(shù)據(jù)、傳輸數(shù)據(jù)、登錄認證這些領(lǐng)域，但并非計算機的執(zhí)行與控制這個領(lǐng)域。

◆從操作系統(tǒng)角度看安全

操作系統(tǒng)是管理和控制計算機硬件與軟件資源的計算機程序，操作系統(tǒng)是用戶和計算機的接口，同時也是計算機硬件和其他軟件的接口。

操作系統(tǒng)會配合CPU的體系結(jié)構(gòu)實現(xiàn)了權(quán)限分層，一般分為2層：用戶層與內(nèi)核層。用戶層對其他軟件和用戶提供支持，內(nèi)核層為OS核心、硬件驅(qū)動、基礎(chǔ)的關(guān)鍵核心任務。這些權(quán)限實體的劃分，也沒有具體的標準，除了OS自己配置好后，也來自于管理權(quán)限用戶的授權(quán)。

操作系統(tǒng)實現(xiàn)了多用戶下的認證、授權(quán)與訪問控制體系。這個體系是在計算機基礎(chǔ)架構(gòu)上一個重要的安全舉措，極大地提升了系統(tǒng)的安全性，但這套體系是基于用戶權(quán)限和資源受信和控制的，他針對的是操作系統(tǒng)可以鑒別的用戶實體而非程序?qū)嶓w以及外部數(shù)據(jù)提供者實體。針對程序?qū)嶓w的授權(quán)，是由用戶判定授權(quán)的，但是程序本身是一個非常復雜的權(quán)限體系，他的代碼邏輯來自開發(fā)者/廠商，數(shù)據(jù)驅(qū)動邏輯來自外部數(shù)據(jù)提供者的(很多應用還支持外部用戶提供可執(zhí)行的腳本，如瀏覽器之類)，但是一旦授權(quán)后，代表的卻是用戶的信用，這要求用戶對自己完全不可控制的開發(fā)者/廠商和外部數(shù)據(jù)提供者的信用做背書。用戶其實根本無法鑒別程序的全部邏輯分支是否符合自身安全需要，代碼與邏輯是否足夠安全可以抵御外部數(shù)據(jù)提供者的攻擊，很多用戶其實連自己的安全需求都是不明確的，這種情況下，通過用戶鑒別來給程序授權(quán)，以防止程序和外部數(shù)據(jù)提供者的惡意攻擊的機制，基本為零。這是當前后門、木馬、漏洞能夠輕易繞過權(quán)限機制的一個本質(zhì)性因素。

◆總結(jié)

計算機體系下程序行為實質(zhì)由代碼和外部數(shù)據(jù)決定，代碼數(shù)據(jù)可混雜，決定了后門(代碼觸發(fā)行為)，漏洞(數(shù)據(jù)觸發(fā)行為)的基礎(chǔ)。而os基于用戶權(quán)限的授權(quán)體系無法甄別程序行為與用戶行為授權(quán)意愿，這是后門漏洞木馬得以突破acl獲得控制權(quán)的本原。不從這些基礎(chǔ)上，讓it人員清楚我們說的安全與他們傳統(tǒng)理解的信息安全也就是數(shù)據(jù)安全的區(qū)別，想讓他們從我們視角來看安全，可能很難。

其實傳統(tǒng)安全也一樣，比如瞎子國里所有管理者都是眼瞎的長官(用戶)必須依賴貼身秘書(廠商提供的硬件與軟件，實質(zhì)是程序代碼)和工作實施人員(外部數(shù)據(jù)提供者)來讀絕密文件并處理相關(guān)工作，但秘書和工作實施人員其他時間做什么的都無法監(jiān)督和控制，甚至無法鑒別今天來的和昨天來的秘書是不是同一個人，再強的加密，再好的對高級長官的權(quán)限控制，都擋不住安全問題。

可悲的是計算機領(lǐng)域的現(xiàn)實安全問題，正如上面的情形，但是很多安全研究者、IT信息從業(yè)者者往往只認為，解決好對對每位瞎子長官的身份認證、信息存儲和傳送加密，以及對每位瞎子長官權(quán)限的控制管理就能解決所有的安全問題。絲毫就沒意識到所有瞎子長官依賴的秘書和工作人員這里的問題。

這個論述不是用來否定加密體系的作用，是要闡述解決數(shù)據(jù)安全為主的加密體系和解決控制安全為主的現(xiàn)有安全對抗體系是計算機安全里并重的東西。前者已有理論和很多應用并走到大多數(shù)攻擊者前面，但后者，攻擊者遠遠走到我們的前面。我們的很多高級安全專家，信息從業(yè)人員，還有學校教材，對安全理解有太多誤區(qū)和偏差，偏偏他們認為自己對安全的認識很透徹深入，認為搞安全的不就是加密和權(quán)限控制這些已有很好方法與成果的玩意就能解決，不理解安全實際面臨的復雜性和緊迫性。#p#

攻擊者視角

攻擊者為什么會發(fā)起攻擊呢?不外乎利益與成本的驅(qū)動，攻擊者的利益是什么呢?不外乎：

◆國家利益(政治軍事情報)：不得不承認，隨著IT系統(tǒng)的廣泛部署和深入滲透，IT系統(tǒng)形成的數(shù)字空間有著巨大的國家利益存在。美國發(fā)布的網(wǎng)絡空間行動戰(zhàn)略(http://wenku.baidu.com/view/cad24e7c168884868762d6d4.html)將網(wǎng)絡安全上升到國家安全，并將其列為陸海空太空之后的第五空間，成立網(wǎng)絡戰(zhàn)爭司令部，部署攻擊部隊和防御部隊(如果IT系統(tǒng)已經(jīng)很安全，有必要嗎?)，下面是部分內(nèi)容節(jié)選，翻譯全文參考鏈接：

•美國關(guān)鍵基礎(chǔ)設施的安全和有效運作，依賴網(wǎng)絡空間、工業(yè)控制系統(tǒng)和信息技術(shù)，但它們卻極易遭到破壞和非法侵入。……,我們確信，大量針對國防部網(wǎng)絡系統(tǒng)的惡意行動尚未被發(fā)現(xiàn)。

•實施惡意網(wǎng)絡行為的門檻低，其中包括黑客工具隨處可得，意味著由個人或小團體組成的網(wǎng)絡行為體一旦下定決心，可能會對美國防部與美國家和經(jīng)濟安全造成重大破壞。小型技術(shù)可產(chǎn)生與其規(guī)模不成比例的效果;潛在敵手不必因試圖對美國家安全構(gòu)成重大威脅而制造價值不菲的武器系統(tǒng)。

•美國防部重點關(guān)注于網(wǎng)絡威脅的諸多核心環(huán)節(jié);這些環(huán)節(jié)包括外部威脅行為體、內(nèi)部人員威脅、供應鏈脆弱性以及美國防部行動能力所面臨的威脅。

•軟件與硬件在被整合為操作系統(tǒng)之前就有遭惡意篡改的風險。用于美國內(nèi)的信息技術(shù)產(chǎn)品大多在國外生產(chǎn)與組裝。國防部依賴國外生產(chǎn)與研發(fā)的信息產(chǎn)品，在有關(guān)設計、制造、服務、銷售、使用等環(huán)節(jié)的風險管理上構(gòu)成挑戰(zhàn)。

•將網(wǎng)絡空間視為一個行動領(lǐng)域，則是國防部有關(guān)國家安全使命的關(guān)鍵性組織概念。這使國防部得以在網(wǎng)絡空間進行組織、訓練和裝備，如同我們在陸、海、空、天所采取的行動，以支撐國家安全利益。

•國防部長已將擔負網(wǎng)絡空間任務的職責賦予美軍戰(zhàn)略司令部、其他作戰(zhàn)司令部以及各軍事部門。

•積極的網(wǎng)絡防御要求美國防部能夠同步、實時地發(fā)現(xiàn)、監(jiān)測、分析，以及降低網(wǎng)絡攻擊威脅。

•由于未必能阻止全部網(wǎng)絡攻擊，美國防部將繼續(xù)改進其網(wǎng)絡傳感器，以監(jiān)測和減輕針對美國防部網(wǎng)絡系統(tǒng)的惡意行為。

•加強國防部購買的所有軟、硬件系統(tǒng)的安全措施，不允許留有能被滲透的漏洞，也不允許保留測試系統(tǒng)模型，這包括從改進核武器指揮控制系統(tǒng)，到更新文字處理軟件。上述原則將成為國防部可信賴的防衛(wèi)系統(tǒng)和供應鏈風險降低戰(zhàn)略的一部分，

•國防部將開發(fā)重新思考網(wǎng)絡空間技術(shù)基礎(chǔ)的革命性技術(shù)。為此，國防部將與處于領(lǐng)先地位的科研機構(gòu)展開合作，以發(fā)展安全的、抵御惡意活動能力更強的新網(wǎng)絡空間能力。

◆經(jīng)濟利益：這么多有價值的資產(chǎn)可以通過攻擊獲取，其間的經(jīng)濟利益不言自明?？聪旅绹W(wǎng)絡司令部在國會聽證會上的數(shù)字空間導致的損失評估(http://www.fas.org/irp/congress/2012_cr/cispa.html )是每年3000億美金的損失，達到美國GDP的2%，這是什么概念?如果考慮IT資產(chǎn)在所有資產(chǎn)的比例情況，這個比例會是多大?如果我們的IT體系已經(jīng)足夠安全健壯，會是這樣觸目驚心嗎?

◆心理利益：這個是比較少的情況，但不排除部分攻擊技術(shù)技藝高超者為了顯示自己的能力或報復社會，或者提出自己的政治觀念而發(fā)起攻擊，比如匿名者。

當然，攻擊者不是沒有成本的，主要成本有：

◆技術(shù)成本：發(fā)起攻擊者需要付出技術(shù)的成本，包括漏洞挖掘成本、漏洞利用研究成本、安全防御技術(shù)對抗研究成本、木馬或后門研發(fā)成本。如果是針對密碼對抗，可能還有數(shù)學研究、加密破解計算的技術(shù)成本。

◆實施成本：信息收集成本、攻擊實施成本、入侵控制與竊取實施與對抗成本。

◆時間與機會成本，暴露成本：攻擊者如果入侵失敗，或者入侵被發(fā)現(xiàn)，有時間與機會成本。同時可能防御者防御更嚴密，另外入侵被發(fā)現(xiàn)可能導致攻擊者研究的0DAY漏洞、特種木馬或苦心植入的后門被曝光。

◆附加成本：針對后門，可能會影響產(chǎn)品的穩(wěn)定性與性能。

◆懲罰成本：如果后門被發(fā)現(xiàn)了，會影響商譽、導致產(chǎn)品被市場清除、被受害者追責。入侵被發(fā)現(xiàn)了可能會引來取證和法律外交追責。如果很容易檢測取證追責體系有效，這個成本就很高。但是如果不容易檢測，也難取證，就更難追責了，懲罰成本的風險較低，就難以通過懲罰成本阻嚇攻擊者。

◆心理成本：攻擊者部分成員可能會有心理成本。

攻擊者目前對抗的核心在哪里?

從美國暴露的損失來看，針對IT系統(tǒng)的攻擊如此泛濫(當然很多IT領(lǐng)域的人覺得很安全，其實是很多事情沒有曝光而已，借用美國NAS的前任局長的一句話：世界上只有2類人，一類知道自己被黑了，一類不知道自己被黑了，參考http://www.reuters.com/article/2013/05/16/us-cyber-summit-hackers-idUSBRE94F18620130516)，但是從曝光的攻擊案例中，大部分是針對程序?qū)崿F(xiàn)安全漏洞和缺陷，配合木馬發(fā)起的(后門由于在早期不留痕跡，而且很多類型后門無法指正，所有還沒有確鑿的案例)，少量是針對密碼實現(xiàn)過程的缺陷發(fā)起的(比如加密從數(shù)學上沒問題，但實現(xiàn)時，真隨機數(shù)如何產(chǎn)生?導致的CPU負載和時間會泄露信息，內(nèi)存信息泄露，密鑰使用存儲等，這些地方都可以讓理論完美的算法失效)，極少有針對密碼算法的缺陷發(fā)起的(我印象中中只知道一例，火焰病毒是利用了微軟證書機制的碰撞算法弱點發(fā)起的，有其他案例的可以補充)。

從這些案例中可以看出，針對IT系統(tǒng)的控制層保護的缺失(后門控制、漏洞導致的失去控制、木馬植入)以及實現(xiàn)(非安全設計、非安全開發(fā)、加密和認證算法實現(xiàn)缺陷)發(fā)起的攻擊是目前攻擊者核心關(guān)注的領(lǐng)域，針對加密算法數(shù)學層面的攻擊，也是存在但比較少的，當然攻擊拿到加密的東西通過破解算法或暴力計算來搞的很多。#p#

引子里的例子的分析

分析下引子里的例子的問題本質(zhì)，大家往往認為這是協(xié)議的問題。當然這是一個協(xié)議問題，這個攻擊是一個變形的自己人攻擊，但是傳統(tǒng)的中間人要劫持鏈路，但是這個不需要(當然釣魚類中間人無需劫持鏈路，但成功與否取決對方上當否)。傳統(tǒng)的中間人要被動等待受害者發(fā)起登錄，這個也不需要。原因在于：

1.這個協(xié)議考慮客戶端服務器單向認證為主，用于對等主機間認證，就避免不了b用a自己的挑戰(zhàn)問題去問a自己，即使加上ab互聯(lián)限制(增加主機成abc或更多，就比如多人可以互相提問，b不知道a問題的答案，但可以問c，c把問題提回a，就知道答案)，甚至匹配限制最近發(fā)出挑戰(zhàn)和收到挑戰(zhàn)是否一致也解決不了問題(攻擊者可以擴展資源為b1,b2,b3.....,c1,c2,c3.....來混淆比較)

2.為什么自動以當前用戶嘗試登錄?如果用戶已經(jīng)是有b權(quán)限的帳號登錄了a，就可以少輸用戶名與口令。同時，win一些域的管理服務肯定也基于這個認證機制，改了兼容問題會很大。

3.再和郵件或網(wǎng)頁這種可以由外部發(fā)起的數(shù)據(jù)組合起來，只要用戶使用，系統(tǒng)很難識別嵌入外部資源行為是用戶授權(quán)還是非授權(quán)，知曉還是不知曉(攻擊可以偽裝成一般用戶無感，除非專業(yè)用戶仔細分析)，就完成了整個無縫的攻擊。

可以看到，除了協(xié)議自己的問題，協(xié)議實現(xiàn)的問題，兼容性和方便性，行為驅(qū)動行為的授權(quán)鑒定困難(這個是典型數(shù)據(jù)驅(qū)動系統(tǒng)行為的案例)，這些，都是當前it安全較大的問題。這些看起來不起眼的小問題，組合一起，就成了自動快捷的殺器。