最新Web应用中常见39种不同的安全漏洞漏洞分析及检查方法.pdf

1.1

SQL注入漏洞

风险等级：高危漏洞描述：

SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险，这就是SQL Injection，即SQL注入漏洞。漏洞危害：

1) 机密数据被窃取；2) 核心业务数据被篡改；3) 网页被篡改；

4) 数据库所在服务器被攻击从而变为傀儡主机，导致局域网修复建议：

1) 在网页代码中对用户输入的数据进行严格过滤；（代码层）2) 部署Web应用防火墙；（设备层）3) 对数据库操作进行监控。（数据库层）

代码层最佳防御sql漏洞方案：采用sql语句预编译和绑定变量，是防御注入的最佳方法。

原因：采用了PreparedStatement，就会将sql语句：\"select id, no from user where id=?\" 预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该sql语句的语法结构了，因为语法分析已经完成了，而语法分析主要是分析sql命令，比如select ,from ,where ,and, or ,order by

等等。所以即使

sqlsql

(内网)被入侵。

你后面输入了这些sql命令，也不会被当成sql命令来执行了，因为这些

命令的执行，必须先的通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了，那么后面输入的参数，是绝对不可能作为只会被当做字符串字面值参数，所以其他防御方式：正则过滤

sql命令来执行的，

sql语句预编译可以防御sql注入。

1.2 目录遍历漏洞

风险等级：中危漏洞描述：

通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器权限进行攻击。漏洞危害：

黑客可获得服务器上的文件目录结构，从而下载敏感文件。修复建议：

1) 通过修改配置文件，去除中间件（如引功能

2) 设置目录权限

3) 在每个目录下创建一个空的

index.html

页面。

IIS、apache、tomcat）的文件目录索

API、文件标准

1.3 跨站脚本漏洞

它能够获取网站管

即XSS漏洞，利用跨站脚本漏洞可以在网站中插入任意代码，

理员或普通用户的cookie，隐蔽运行网页木马，甚至格式化浏览者的硬盘。漏洞危害：

1) 网络钓鱼，盗取管理员或用户帐号和隐私信息等；

2) 劫持合法用户会话，利用管理员身份进行恶意操作，篡改页面内容、进一步渗透网站；

3) 网页挂马、传播跨站脚本蠕虫等；4) 控制受害者机器向其他系统发起攻击。修复建议：设置httponlyhttponly

无法完全的防御xss漏洞，它只是规定了不能使用

js去获取cookie

的内容，因此它只能防御利用set-cookiehttponly

xss进行cookie劫持的问题。Httponly是在

时标记的，可对单独某个参数标记也可对全部参数标记。由于设置的方法比较简单，使用也很灵活，并且对防御

cookie劫持非常有用，

因此已经渐渐成为一种默认的标准。

xss filterXss filter

往往是一个文本文件，里面包含了允许被用户输入提交的字符（也

xss

有些是包含不允许用户提交的字符）。它检测的点在于用户输入的时候，filter

分为白名单与黑名单，推荐使用白名单，但即使使用白名单还是无法完

全杜绝xss问题，并且使用不当可能会带来很高的误报率。编码转义

编码方式有很多，比如html编码、url编码、16进制编码、javascript在处理用户输入时，除了用

xss filter

编码等。

的方式过滤一些敏感字符外，还需要配

从而不能被浏览器当

合编码，将一些敏感字符通过编码的方式改变原来的样子，成js代码执行。处理富文本

有些网页编辑器允许用户提交一些自定义的

html代码，称之为”富文本”。想

限

要在富文本处防御xss漏洞，最简单有效的方式就是控制用户能使用的标签，制为只能使用a、div等安全的标签。处理所有输出类型的xss漏洞

xss漏洞本质上是一种html注入，也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。其他修复方案

1) 开发者应该严格按照openid和openkey的校验规则判断openid和openkey是否合法，且判断其它参数的合法性，不合法不返回任何内容。2) 严格URL参数输入值的格式，不能包含不必要的特殊字符（ %0d、%0a、%0D 、%0A 等）。3) 针对ASP.NET的防XSS库，Microsoft

有提供统一的库，具体可以参见如下

链接微软官网：http://msdn.microsoft.com/en-us/library/aa973813.aspx4) 具体的js方法如下：（1）对于用户输入的参数值展现在展现在html正文中：href='Un-trusted'>http://www.contoso.com'>Un-trusted

input 展现

HTML正文中或者属性值中的情况，例如：

在属性值中： input\"> 此时需

(即将<> ‘“ ' 转成html实体)：

（2）对于用户输入落在

1.4未过滤HTML代码漏洞

由于页面未过滤HTML代码，攻击者可通过精心构造护策略），实现跨站脚本攻击等。可带来如下危害：

1) 恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞，从而获取其他用户信息；

2) 攻击者能盗取会话cookie、获取账户、模拟其他用户身份，甚至可以修改网页呈现给其他用户的内容。修复建议：

1) 严格过滤用户输入的数据。2) 参考跨站脚本漏洞修复方案。

XSS代码（或绕过防火墙防

1.5 数据库运行出错

网站存在数据库运行出错，由于网页数据交换出错，攻击者可获取报错中的敏感信息。

可带来如下危害：1) 机密数据被窃取；

2) 攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获取网站敏感信息；

3) 攻击者利用泄漏的敏感信息，获取网站服务器web路径，为进一步攻击提供帮助。修复建议：

1) 检查数据库缓存是否溢出，是否具有失效的配置管理、禁用一切不必要的功能；

2) 对网站错误信息进行统一返回，模糊化处理。

1.6 Flash 安全配置缺陷漏洞

网站存在Flash 安全配置缺陷，该漏洞可导致跨域访问，让用户访问非法Flash文件。

1) allowScriptAccess

：是否允许flash访问浏览器脚本。如果不对不信任的

XSS漏洞。

flash，默认会允许调用浏览器脚本，产生

always（默认值），总是允许；sameDomain，同域允许；never，不允许2) allowNetworking：是否允许flash访问ActionScript

中的网络API。如果

不对不信任的flash，会带来flash弹窗、CSRF等问题。all，允许所有功能，会带来

flash弹窗危害；internal，可以向外发送请求/

加载网页；none，无法进行任何网络相关动作（业务正常功能可能无法使用）可带来如下危害：

网站的Flash配置文件crossdomain.xml配置不当，存在Flash跨域攻击安全隐患。修复建议：

1) 修改flash安全策略，做严格，比如到网站当前域；

2) 找到相应目录下的crossdomain.xml文件，找到代码：cross-domain-policy allow-access-fromdomain=* allow-access-from domain=

cross-domain-policy

改成：cross-domain-policy

。

改成你的网站地址 cross-domain-policy

1.7 FCK编辑器泄露漏洞漏洞描述

利用此漏洞攻击者可访问编辑器页面，上传图片。漏洞危害

1) 由于网站编辑器没有对管理员登录进行校验，导致任意用户访问编辑器；2) 利用编辑器漏洞查看网站全硬盘目录。

修复建议

对编辑器页面进行访问控制，禁止未授权访问，并升级

fck编辑器版本。

1.8 FCKeditor任意文件上传漏洞

FCKeditor版本低于或等于2.4.3时网站存在任意文件上传漏洞，可以利用该漏洞上传任意文件。可带来如下危害：

1) 由于目标网站未做上传格式的，导致网站、数据库和服务器有被入侵的风险；

2) 可能导致网站被攻击者控制，网站数据被窃取、网页被篡改等。修复建议：

1) 设置FCKeditor编辑器相关页面在未授权的前提下无法正常访问，和FCK上传文件的格式；

2) 下载并更新至FCKeditor的最新版本。

1.9 URL Redirect漏洞

即URL重定向漏洞，通过将 URL 修改为指向恶意站点，攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。可带来如下危害：

1) Web 应用程序执行指向外部站点的重定向；

2) 攻击者可能会使用 Web 服务器攻击其他站点，这将增加匿名性。修复建议：

1) 在网页代码中需要对用户输入的数据进行严格过滤；（代码层）2) 部署Web应用防火墙。（设备层）

1.10 文件上传漏洞

网站存在任意文件上传漏洞，文件上传功能没有进行格式，容易被黑客利用上传恶意脚本文件。可带来如下危害：

1.攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威胁；2.攻击者可上传可执行的

WebShell（如php、jsp、asp类型的木马病毒），或者

利用目录跳转上传gif、html、config文件，覆盖原有的系统文件，到达获取系统权限的目的。修复建议：

1.对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件；2.设置权限，禁止上传目录的执行权限；3.严格可上传的文件类型；4.严格上传的文件路径。5.文件扩展名服务端白名单校验。6.文件内容服务端校验。7.上传文件重命名。8.隐藏上传文件路径。

1.11 后台弱口令漏洞

网站管理后台用户名密码较为简单或为默认，易被黑客利用。可带来如下危害：

1) 攻击者利用弱口令登录网站管理后台，可任意增删文章等造成负面影响；2) 攻击者可进一步查看网站信息，获取服务器权限，导致局域网(内网)被入侵。修复建议：

1) 对管理后台进行访问控制，修改后台弱口令，加强口令强度并定期修改。2) 增加验证机制，防爆破机制，

ip＋cookie访问次数。

1.12 敏感信息泄漏

由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。可带来如下危害：

1.攻击者可直接下载用户的相关信息，包括网站的绝对路径、用户的登录名、密码、

真实姓名、身份证号、电话号码、邮箱、

QQ号等；

2.攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获

取网站敏感信息；

3.攻击者利用泄漏的敏感信息，获取网站服务器web路径，为进一步攻击提供帮助。

修复建议：

1.对网站错误信息进行统一返回，模糊化处理；

2.对存放敏感信息的文件进行加密并妥善储存，避免泄漏敏感信息。

1.13 未加密登录请求漏洞

网站对用户登录认证信息未进行加密，过程中被获取。可带来如下危害：

易造成用户敏感信息泄露与篡改。修复建议：

建议通过加密连接（如

SSL）方式进行敏感信息的传送。

敏感信息以明文形式进行传送，易在传输

1.14 后台口令暴力破解

由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被暴力破解。可带来如下危害：

1.攻击者可利用该漏洞无限次提交用户名密码，

码；

2.暴力破解后登录其中一个帐号可进管理后台，

等造成负面影响；

3.攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器权限，

导致局域网(内网)被入侵。修复建议：

1.对该页面进行访问控制，禁止IP或非法IP访问后台页面，并增加验证码校

验，加强帐号锁定机制。

2.增加ip＋cookie配置方式访问频率。

攻击者登录网站后台任意增删文章从而可以暴力破解后台用户名及密

1.15 跨站请求伪造

跨站请求伪造，即CSRF，攻击者通过伪造来自受信任用户的请求，达到增加、删除、篡改网站内容的目的。可带来的危害：

攻击者冒充用户/管理员，伪造请求，进行篡改、转帐、改密码、发邮件等非法操作。修复建议：

1) 过滤用户输入，不允许发布含有站内操作

URL的链接；

2) 改良站内 API 的设计，关键操作使用验证码,只接受 POST 请求，GET请求应该只浏览而不改变服务器端资源；

3) 对于web站点，将持久化的授权方法（例如cookie或者HTTP授权）切换为瞬时的授权方法（在每个

form中提供隐藏field）；

cookie。

4) 在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的服务端的防御：

1) 验证HTTP Referer字段。

2) 请求地址中添加token并验证（token不放在cookie中，放在http请求参数中，服务端对其进行验证）

3) 将token加入http头属性中，避免了token出现在浏览器中，被泄露。客户端防御：

为了配合服务端对token的验证，那么客户端也需要在访问时生成利用 js 来给 html 中的链接和表单请求地址附加 csrftoken 义 token 为全局变量，其值可以从 session 中得到。

token，这是

代码，其中已定

1.16 Unicode 编码转换漏洞漏洞等级：中危

该漏洞由于Unicode在编码转换过程中会忽略某些字符，导致攻击者可插入该字符绕过安全设备的检测。可带来如下危害：

黑客可通过插入特殊字符，可拆分攻击的关键词，绕过安全设备的检测。

修复建议：

1) 修改中间件，过滤特殊字符。2) 部署Web应用防火墙

1.17 Possible .Net Error Message 漏洞等级：中危

网站存在.net报错信息，由于网站未配置统一错误返回页面，导致显示出错误信息。可带来如下危害：

黑客可通过特殊的攻击向量，有可能泄漏如绝对路径、源代码、信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复建议：

关闭PHP错误回显，或修正代码。

sql语句等敏感

aspx出错并

1.18 发生内部错误漏洞描述

500 Internal Server Error漏洞危害

攻击者向服务器提交精心构造的恶意数据后，有可能导致服务器出现内部错误、服务器宕机或数据库错乱。修复建议

1) 严格过滤用户输入的数据。

2) 服务器错误统一模糊处理，或者跳转到首页／

404页面。

。

1.19 SVN源代码泄漏由于目标网站没有及时清除可带来如下危害：

1.攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；2.攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统。

SVN服务器连接时的残留信息，导致存在此漏洞。

修复建议：

删除指定SVN生成的各种文件，如“/.svn/entries

”等。

1.20 旁站攻击漏洞

多家网站在同一台服务器上，因一个网站存在致命高危漏洞，导致整台服务器被入侵。

可带来如下危害：

1.服务器上的所有网站均可被获得控制权限，

意增删文章等造成负面影响；

2.攻击者可通过旁站服务器漏洞进入网站内网对其他服务器进行进一步攻击。

修复建议：

1.修补同一台服务器上的其他网站漏洞；2.建议每个网站单独服务器运行。

攻击者可利用该漏洞登录网站后台任

1.21 后台登录页面绕过

越权操作，可直接通过访问后台地址进行访问，绕过登陆。可带来如下危害：

1.一旦入侵者发现后台url，便可进入后台页面，进行非法操作。

修复建议：

1.对后台所有url做好权限设置。2.禁止访问后台地址。

1.22 CVS 信息泄漏漏洞描述

由于目标网站没有及时清除漏洞测试

访问／cvs/等页面，若出现下图内容，则表示存在此漏洞。

CVS服务器连接时的残留信息，导致存在此漏洞。

@前面是用户名后面是服务器地址

漏洞危害

1) 攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；2) 攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统。修复建议

删除指定CVS生成的各种文件，如“/CVS/Root”等。

1.23 Possible PHP Error Message

网站存在Possible PHP Error Message，由于网站未配置统一错误返回页面，导致PHP出错并显示出错误信息可带来如下危害：

黑客可通过特殊的攻击向量，有可能泄漏如绝对路径、源代码、信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复建议：

关闭PHP错误回显，或修正代码。

sql语句等敏感

1.24 HPP漏洞漏洞描述

即http参数污染，它是web容器处理http参数时的问题。比如访问URL:http://www.xxx.com/index.php?str=hello访

问:http://www.xxx.com/index.php?str=hello&str=world&str=nmask面显示nmask，把前面参数的值给覆盖了，这就是可带来的危害：用来绕过WAF 修复建议：

修改web容器处理机制

http参数污染。

此时，页

此时，页面显示hello。但如果

1.25 File Operation-Web.xml漏洞

攻击者可以通过文件内容泄漏漏洞（或文件包含漏洞）获取敏感文件的内容，或直接执行其指定的恶意脚本，进得可带来如下危害：

1) 文件内容泄漏漏洞（或文件包含漏洞）允许攻击者读取服务器中的任意文件，或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。2) 很多脚本语言允许通过特殊的指令（如

PHP 通过require关键字）将其他如果这些特殊的指令在包含的文

Web服务器的控制权限。

脚本源码文件的内容合并至当前的文件中执行，

件路径中含有用户提交的数据，则恶意攻击者就有可能通过构造特殊的数据将WEB服务器访问的文件内容（如操作系统或某些重要应用的配置文件）包含进来并通过浏览器获取其内容，这种方式通常称为本地文件包含；如果应用程序的配置还允许包含远程的其他服务器上的文件，脚本然后通过包含并予以执行，进而获取修复建议：

1) 如果可能，使用包含指令时显式指定包含的文件名称；2) 如果必须通过用户的输入指定包含的文件，文件白名单中显式地选择；

3) 请对用户的输入进行严格的过滤，确保其包含的文件在预定的目录中或不能包含URL参数。

则最好分析用户的输入，然后从恶意攻击者就有可能构造特殊的

WEB应用的敏感数据或控制权。

1.26 短文件名泄漏漏洞漏洞等级：中危漏洞描述

该漏洞由于Windows处理较长文件名时为方便使用较短的文件名代替，利用该漏洞尝试获取网站服务器下的文件名。漏洞危害

黑客可通过该漏洞尝试获取网站服务器下存放文件的文件名，来入侵服务器的目的。修复建议

1) 修改Windows配置，关闭短文件名功能。

达到获取更多信息

攻击者可

2) 部署Web应用防火墙，防止攻击者批量尝试。

1.27 OS注入漏洞风险等级：高危漏洞描述：

网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，能够提交系统命令操作，会导致攻击者能控制整个服务器。漏洞危害：

攻击者可以执行任意操作系统命令，进行恶意攻击；修复建议：

1) 禁止调用系统问题；2) 部署Web应用防火墙；3) 过滤用户输入；

1.28 SOAP注入漏洞风险等级：高危漏洞描述：

用户提交的数据直接插入到SOAP消息中，攻击者可以破坏消息的结构，从而实

现SOAP注入。漏洞危害：

攻击者可以改变应用程序的逻辑，修改数据。修复建议：

在用户提交的数据被插入

SOAP消息的实施边界进行过滤

1.29 XPATH注入漏洞风险等级：高危漏洞描述：

允许用户

网站使用XPath访问数据，响应用户提交的输入。如果用户的输入未经过过滤就插入到XPath的查询中，攻击者就可以通过控制查询语句来破坏应用程序，获取未授权访问的数据。漏洞危害：

攻击者可以改变应用程序的逻辑，修改数据。修复建议：

1) 在网页代码中对用户输入的数据进行严格过滤；2) 部署Web应用防火墙；、

或者

1.30 SMTP注入漏洞风险等级：高危漏洞描述：

在电子邮件功能中，攻击者可在会话中注入任意的消息。漏洞危害：篡改用户的邮件内容修复建议：

1) 在客户端代码中对用户输入的数据进行严格过滤；2) 部署Web应用防火墙；

SMTP命令，完全控制应用程序

1.31 LDAP注入漏洞风险等级：高危漏洞描述：

LDAP是一种轻量级目录访问协议，可以用来保存信息。如果在查询语句中插入恶意代码，可以修改返回的结果漏洞危害：机密数据被窃取；修复建议：

1) 在查询中对用户输入的数据进行严格过滤；

2) 部署Web应用防火墙；

1.32 命令执行漏洞风险等级：高危漏洞描述：

命令执行漏洞是指代码未对用户可控参数做过滤，中，对恶意构造的语句，可被用来执行任意命令。漏洞危害：

黑客可在服务器上执行任意命令，写入后门，从而入侵服务器，获取服务器的管理员权限，危害巨大。修复建议：

严格过滤用户输入的数据，禁止执行系统命令

导致直接带入执行命令的代码

1.33 HTTP消息头注入漏洞漏洞描述：

用户控制的数据以不安全的方式插入到应用程序返回的击者能够在消息头中注入换行符，就能在响应中插入其他应主体中写入任意内容。漏洞检测：

通过修改参数来判断是否存在漏洞。比如国内某著名网站曾经出现过入漏洞，如下url：

http://www.YYYYYYYYY.com/YYYYWeb/jsp/website/agentInvoke.jsp?agentid=%0D%0AX-foo:%20bar 抓包时发现：

header注

HTTP消息头中，如果攻HTTP消息头，并在响

漏洞危害：

利用HTTP消息头注入漏洞可以控制用户访问页面的返回结果修复建议：1) 2) a) b)

不要把用户控制的输入插入到应用程序返回的部署Web应用防火墙。

在设置HTTP响应头的代码中，过滤回车换行（

%0d%0a、%0D%0A)字符。HTTP消息头中;

,执行恶意代码。

不采用有漏洞版本的apache服务器，同时对参数做合法性校验以及长度限

http返回包的header设置。

制，谨慎的根据用户所传入参数做

1.34 验证机制缺陷漏洞

风险等级：中危漏洞描述：

由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被暴力破解。漏洞危害：1)

攻击者可利用该漏洞无限次提交用户名密码，从而可以暴力破解后台用户

名及密码；2)

暴力破解后登录其中一个帐号可进管理后台，攻击者登录网站后台任意增

删文章等造成负面影响；3)

攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器

权限，导致局域网(内网)被入侵。修复建议：

对该页面进行访问控制，禁止IP或非法IP访问后台页面，并增加验证码校验，加强帐号锁定机制。

1.35 漏洞描述：

文件包含漏洞

文件包含漏洞多数情况出现在PHP中，当然jsp中也存在，文件包含分为本地包

含与远程包含。漏洞危害：1) 绕过WAF上传木马文件

2)

加载有害的远程内容，影响程序运行。

漏洞修复：1) 关闭allow_url_fopen 2) 避免使用include参数3)

使用web检测文件内容

1.36 Elasticsearch未授权访问漏洞

漏洞描述

elasticsearch 是一款java编写的企业级搜索服务，启动此服务默认会开放

9200端口，可被非法操作数据。漏洞检测

检测：默认端口9200

相当于一个API，任何人访问这个地址，就可以调用作。漏洞危害

可被非法操作数据，对网站数据造成影响。修复方案1) 关闭9200端口

2)

防火墙上设置禁止访问此端口。

api，进行数据的增删改操

1.37 漏洞描述

Git源代码泄露漏洞

服务器将.git文件放在了web目录下，导致可以访问git文件内容，获取源代

码。漏洞验证验证访问网站.git

目录：

可以看到git目录可以被访问，即存在此漏洞。漏洞危害

可以通过此漏洞，获取项目源代码。漏洞修复1) 删除网站目录下的.git文件

2) 中间件上设置.git

目录访问权限，禁止访问

3)

防火墙上设置禁止访问此目录

1.38 PHPInfo()信息泄漏漏洞

Web站点的某些测试页面可能会使用到PHP的phpinfo()关键信息。如下图所示：

函数，会输出服务器的

检测方法：访问http://\\[ip\\]/test.php 是否成功。

修复方案：删除该PHP文件。

以及http://\\[ip\\]/phpinfo.php看

1.39 crossdomain.xml配置不当漏洞

描述：网站根目录下的文件crossdomain.xml指明了远程flash是否可以加载当前网站的资源（图片、网页内容、如果配置不当，可能带来

flash等）。

CSRF攻击。如下图所示：

检测方法：

访问http://\\[domain\\]/crossdomain.xml 修复方案：对于不需要外部加载资源的网站，allow-access-from

crossdomain.xml中更改

的domain属性为域名白名单。

修复大致样本参考如下（备注：示例中的

app10000.qzoneapp.com,app10000.imgcache.qzoneapp.com请修改为自己指定的站点）：