الآن سنحاول طريقة أخرى لحقن SQL. دعونا نرى ما إذا كانت قاعدة البيانات تستمر في إسقاط رسائل الخطأ. هذه الطريقة تسمى "انتظار التأخير" ، والتأخير نفسه مكتوب على النحو التالي: waitfor delay 00:00:01 '. أنسخ هذا من ملفنا وألصقه في شريط العنوان في متصفحي.
كل هذا يسمى "حقن SQL الأعمى على أساس مؤقت". كل ما نفعله هنا هو "انتظر تأخيرًا لمدة 10 ثوانٍ". إذا لاحظت ، في أعلى اليسار لدينا نقش "يربط ..." ، أي ماذا تفعل صفحتنا؟ ينتظر الاتصال ، وبعد 10 ثوانٍ ، تظهر الصفحة الصحيحة على شاشتك. بهذه الحيلة ، نطلب من قاعدة البيانات السماح لنا بطرح بضعة أسئلة أخرى ، على سبيل المثال ، إذا كان المستخدم هو Joe ، فنحن بحاجة إلى الانتظار لمدة 10 ثوانٍ. انها واضحة؟ إذا كان المستخدم هو dbo ، فانتظر 10 ثوانٍ أيضًا. هذه هي طريقة Blind SQL Injection.
أعتقد أن المطورين لا يصلحون هذه الثغرة الأمنية عند إنشاء التصحيحات. هذا هو حقن SQL ، لكن برنامج IDS الخاص بنا لا يراه أيضًا ، مثل الطرق السابقة لحقن SQL.
لنجرب شيئًا أكثر إثارة للاهتمام. انسخ هذا السطر بعنوان IP والصقه في المتصفح. انها عملت! تحول شريط TCP في برنامجنا إلى اللون الأحمر ، ولاحظ البرنامج تهديدين للأمان.
حسنًا ، دعنا نرى ما حدث بعد ذلك. لدينا تهديد واحد لقذيفة XP ، وتهديد آخر هو محاولة حقن SQL. في المجموع ، كانت هناك محاولتان لمهاجمة تطبيق الويب.
حسنًا ، الآن ساعدني في المنطق. لدينا حزمة بيانات تلاعب حيث تقول IDS إنها استجابت للعديد من عمليات التلاعب في قذيفة XP.
إذا نزلنا ، نرى جدولًا برموز HEX ، يوجد على يمينه علامة بالرسالة xp_cmdshell + & 27ping ، ومن الواضح أن هذا أمر سيء.
دعونا نرى ما حدث هنا. ماذا فعل SQL Server؟
قال خادم SQL "يمكنك الحصول على كلمة مرور قاعدة البيانات الخاصة بي ، ويمكنك الحصول على جميع سجلات قاعدة البيانات الخاصة بي ، ولكن يا صاح ، لا أريدك أن تقوم بتشغيل أوامرك علي على الإطلاق ، هذا ليس رائعًا على الإطلاق"!
ما نحتاج إلى القيام به هو التأكد من أنه حتى إذا أبلغت IDS عن تهديد لقذيفة XP ، فسيتم تجاهل التهديد. إذا كنت تستخدم SQL Server 2005 أو SQL Server 2008 ، إذا تم الكشف عن محاولة إدخال SQL ، فسيتم قفل غلاف نظام التشغيل ، مما يمنعك من متابعة عملك. انه مزعج جدا. اذن، ماذا علينا ان نفعل؟ يجب أن تحاول أن تطلب من الخادم بمودة شديدة. هل يجب أن أقول شيئًا مثل ، "من فضلك ، أبي ، هل يمكنني الحصول على ملفات تعريف الارتباط هذه"؟ هذا ما أفعله ، بجدية ، أطلب من الخادم بأدب شديد! أطلب المزيد من الخيارات ، وأطلب إعادة التكوين ، وأطلب تغيير إعدادات XP shell لإتاحة الصدفة لأنني في حاجة إليها!
نرى أن IDS قد اكتشفت هذا - كما ترى ، تم بالفعل تسجيل 3 تهديدات هنا.
فقط انظر هنا - لقد فجرنا سجلات الأمان! يبدو وكأنه شجرة عيد الميلاد ، وهناك أشياء كثيرة معلقة هنا! ما يصل إلى 27 تهديدًا أمنيًا! يا رفاق ، لقد ضبطنا هذا المخترق ، لقد حصلنا عليه!
لسنا قلقين من أنه سيسرق بياناتنا ، ولكن إذا كان بإمكانه تنفيذ أوامر النظام في "صندوقنا" - فهذا أمر خطير بالفعل! يمكنك رسم مسار Telnet ، FTP ، يمكنك الاستيلاء على بياناتي ، هذا رائع ، لكن لا داعي للقلق بشأن ذلك ، فأنا فقط لا أريدك أن تتولى غطاء "الصندوق" الخاص بي.
أريد أن أتحدث عن الأشياء التي استحوذت علي حقًا. أنا أعمل في منظمات ، وأعمل معهم منذ سنوات عديدة ، وأنا أخبركم بهذا لأن صديقتي تعتقد أنني عاطل عن العمل. هي تعتقد أن كل ما أفعله هو الوقوف على المسرح والدردشة ، وهذا لا يمكن اعتباره عملاً. لكني أقول: "لا ، فرحتي ، أنا مستشار"! هذا هو الاختلاف - أنا أتحدث عن رأيي وأحصل على أموال مقابل ذلك.
اسمحوا لي أن أضع الأمر على هذا النحو - نحن كقراصنة نحب كسر القشرة ، وبالنسبة لنا ليس هناك متعة أكبر في العالم من "ابتلاع الصدفة". عندما يكتب محللو IDS قواعدهم ، يمكنك أن ترى أنهم يكتبونها بطريقة تحمي من اختراق الصدفة. ولكن إذا تحدثت إلى CIO حول مشكلة استخراج البيانات ، فسوف يعرض عليك التفكير في خيارين. لنفترض أن لدي تطبيقًا يصنع 100 "قطعة" في الساعة. ما هو الأهم بالنسبة لي - لضمان أمن جميع البيانات في هذا التطبيق أو أمن قذيفة "box"؟ هذا سؤال جدي! ما الذي يجب أن تكون أكثر قلقًا بشأنه؟
لا يعني مجرد وجود غلاف "مربع" مكسور بالضرورة أن شخصًا ما قد تمكن من الوصول إلى الأعمال الداخلية للتطبيقات. نعم ، هذا أكثر من المرجح ، وإذا لم يحدث بعد ، فقد يحدث قريبًا. لكن لاحظ أن العديد من منتجات الأمان مبنية على أساس أن المهاجم يتجول في شبكتك. لذا فهم ينتبهون إلى تنفيذ الأوامر ، وإدخال الأوامر ، ويجب ملاحظة أن هذا أمر خطير. إنهم يشيرون إلى نقاط ضعف تافهة ، وبرمجة نصية بسيطة جدًا عبر المواقع ، وإدخالات SQL بسيطة جدًا. إنهم لا يهتمون بالتهديدات المعقدة ، ولا يهتمون بالرسائل المشفرة ، ولا يهتمون بهذا النوع من الأشياء. يمكن القول أن جميع المنتجات الأمنية تبحث عن ضوضاء ، فهم يبحثون عن "النبح" ، يريدون إيقاف شيء يعض كاحلك. هذا ما تعلمته عند التعامل مع منتجات الأمان. لا تحتاج إلى شراء منتجات الأمان ، ولا تحتاج إلى قيادة الشاحنة في الاتجاه المعاكس. أنت بحاجة إلى أشخاص أكفاء ومهرة يفهمون التكنولوجيا. نعم يا الهي يا ناس! لا نريد إنفاق ملايين الدولارات على هذه المشكلات ، لكن العديد منكم عمل في هذا المجال ويعرف أنه بمجرد أن يرى رئيسك إعلانًا ، يركض إلى المتجر ويصرخ "علينا الحصول على هذا الشيء!". لكننا لسنا في حاجة إليها حقًا ، علينا فقط أن نصلح الفوضى التي خلفنا. كان هذا هو المنطلق لهذا الأداء.
البيئة الأمنية العالية هي شيء قضيت وقتًا طويلاً فيه لفهم قواعد كيفية عمل آليات الحماية. بمجرد فهم آليات الحماية ، فإن تجاوز الحماية ليس بالأمر الصعب. على سبيل المثال ، لدي تطبيق ويب محمي بواسطة جدار الحماية الخاص به. أقوم بنسخ عنوان لوحة الإعدادات ، ولصقه في شريط عنوان المتصفح وانتقل إلى الإعدادات ومحاولة تطبيق البرمجة النصية عبر المواقع.
نتيجة لذلك ، أتلقى رسالة جدار حماية حول تهديد - لقد تم حظري.
أعتقد أنه سيء ، هل توافق؟ أنت تواجه منتج أمان. ولكن ماذا لو جربت شيئًا كهذا: ضع المعامل Joe '+ OR + 1 =' 1 في السلسلة
كما ترون ، عملت. صححني إذا كنت مخطئًا ، لكننا رأينا حقن SQL يتغلب على جدار حماية التطبيق. الآن دعنا نتظاهر بأننا نريد إنشاء شركة أمنية ، لذلك دعونا نلبس قبعة صانع البرمجيات. الآن نحن نجسد الشر لأنه قبعة سوداء. أنا مستشار ، لذا يمكنني القيام بذلك مع منتجي البرمجيات.
نريد بناء ونشر نظام جديد لكشف التسلل ، لذلك سنبدأ حملة للكشف عن التلاعب. Snort ، كمنتج مفتوح المصدر ، يحتوي على مئات الآلاف من توقيعات التهديد بالاقتحام. يجب أن نتصرف بشكل أخلاقي ، حتى لا نسرق هذه التوقيعات من التطبيقات الأخرى ونقوم بإدراجها في نظامنا. سنجلس فقط ونعيد كتابتها جميعًا - مرحباً بوب ، تيم ، جو ، تعال إلى هنا وقم بإجراء جولة سريعة من خلال كل تلك التوقيعات البالغ عددها 100!
نحتاج أيضًا إلى إنشاء ماسح ضوئي للثغرات الأمنية. أنت تعلم أن Nessus ، الباحث التلقائي عن الثغرات الأمنية ، لديه 80 توقيع جيد ونصوص تتحقق من الثغرات الأمنية. سوف نتصرف مرة أخرى بشكل أخلاقي وشخصي لإعادة كتابتها جميعًا في برنامجنا.
يسألني الناس ، "Joe ، أنت تقوم بكل هذه الاختبارات باستخدام برامج مفتوحة المصدر مثل Mod Security و Snort وما شابه ، ما مدى تشابهها مع منتجات البائعين الآخرين؟" أجبهم: "إنهم لا يشبهون على الإطلاق!" نظرًا لأن البائعين لا يسرقون الأشياء من منتجات الأمان مفتوحة المصدر ، فإنهم يجلسون ويكتبون كل هذه القواعد بأنفسهم.
إذا كان بإمكانك عمل توقيعاتك الخاصة وسلاسل الهجوم دون استخدام منتجات مفتوحة المصدر ، فهذه فرصة رائعة لك. إذا كنت غير قادر على التنافس مع المنتجات التجارية ، والتحرك في الاتجاه الصحيح ، فيجب أن تجد مفهومًا يساعدك على أن تصبح معروفًا في مجالك.
يعلم الجميع أنني أشرب. دعني أوضح لك لماذا أشرب. إذا سبق لك أن أجريت تدقيقًا للشفرة المصدرية في حياتك ، فسوف تسكر بالتأكيد ، صدقني ، بعد ذلك ستبدأ في الشرب.
لذلك فإن لغتنا المفضلة هي C ++. دعنا نلقي نظرة على هذا البرنامج - Web Knight هو تطبيق جدار حماية لخوادم الويب. لها استثناءات افتراضية. إنه أمر مثير للاهتمام - إذا قمت بنشر جدار الحماية هذا ، فلن يحميني من Outlook Web Access.
رائع! هذا لأن الكثير من بائعي البرامج يسحبون القواعد من بعض التطبيقات ويضعونها في منتجاتهم دون إجراء مجموعة كاملة من الأبحاث الصحيحة. لذلك عندما أقوم بنشر تطبيق جدار حماية الشبكة ، أعتقد أن كل شيء يتعلق ببريد الويب تم بشكل خاطئ! لأن أي بريد ويب تقريبًا ينتهك الأمان الافتراضي. لديك رمز ويب ينفذ أوامر النظام واستعلامات LDAP أو أي مخزن قاعدة بيانات مستخدم آخر مباشرة على الويب.
قل لي ، على أي كوكب يمكن اعتبار مثل هذا الشيء آمنًا؟ فقط فكر في الأمر: تفتح Outlook Web Access ، وتضغط على b ctrl + K ، وتبحث عن المستخدمين وكل ذلك ، وتقوم بإدارة Active Directory مباشرة من الويب ، وتقوم بتنفيذ أوامر النظام على Linux إذا كنت تستخدم "البريد السنجابي" أو Horde أو أيًا كان. شيء آخر. أنت تسحب كل تلك الإيجارات وأنواع أخرى من الوظائف غير الآمنة. لذلك ، تستبعدها العديد من جدران الحماية من قائمة التهديدات الأمنية ، حاول سؤال الشركة المصنعة للبرنامج عن هذا الأمر.
دعنا نعود إلى تطبيق Web Knight. لقد سرق الكثير من قواعد الأمان من ماسح URL الذي يقوم بمسح جميع نطاقات عناوين IP هذه. وماذا ، كل نطاقات العناوين هذه مستبعدة من المنتج الخاص بي؟
هل يريد أي منكم تثبيت هذه العناوين على شبكتك؟ هل تريد أن تعمل شبكتك على هذه العناوين؟ نعم إنه لأمر مدهش. حسنًا ، دعنا ننتقل إلى أسفل هذا البرنامج وننظر إلى الأشياء الأخرى التي لا يريد جدار الحماية هذا القيام بها.
يطلق عليهم "1999" ويريدون أن يكون خادم الويب الخاص بهم في الماضي! هل يتذكر أي منكم هذه الهراء: / scripts ، / iishelp ، msads؟ ربما يتذكر شخصان بحنين إلى الماضي مدى متعة اختراق مثل هذه الأشياء. "تذكر ، يا رجل ، منذ متى" قتلنا "الخوادم ، كان رائعًا!"
الآن ، إذا نظرت إلى هذه الاستثناءات ، سترى أنه يمكنك القيام بكل هذه الأشياء - msads ، والطابعات ، و iisadmpwd - كل هذه الأشياء التي لا يحتاجها أحد اليوم. ماذا عن الأوامر التي لا يسمح لك بتنفيذها؟
هذه هي arp ، at ، cacls ، chkdsk ، cipher ، cmd ، com. عند سردها ، تغمرك ذكريات الأيام الخوالي ، "يا صاح ، تذكر كيف استحوذنا على ذلك الخادم ، تذكر تلك الأيام"؟
ولكن إليك ما هو مثير للاهتمام حقًا - هل يرى أي شخص هنا WMIC أو ربما PowerShell؟ تخيل أن لديك تطبيقًا جديدًا يعمل عن طريق تشغيل البرامج النصية على النظام المحلي ، وهذه برامج نصية حديثة ، لأنك تريد تشغيل Windows Server 2008 ، وسأقوم بعمل رائع لحمايته بقواعد مصممة لنظام التشغيل Windows 2000. لذلك في المرة القادمة التي يأتي فيها بائع إليك مع تطبيق الويب الخاص به ، اسأله ، "مرحبًا يا رجل ، هل قدمت أشياء مثل bits admin ، أو تنفيذ أوامر بوويرشيل ، هل قمت بفحص جميع الأشياء الأخرى ، لأننا ذاهبون لتحديث واستخدام الإصدار الجديد من DotNET "؟ لكن كل هذه الأشياء يجب أن تكون موجودة بشكل افتراضي في منتج الأمان!
الشيء التالي الذي أريد التحدث عنه هو مغالطات منطقية. لننتقل إلى 192.168.2.6. هذا هو نفس التطبيق مثل التطبيق السابق.
قد تلاحظ شيئًا مثيرًا للاهتمام إذا قمت بالتمرير لأسفل الصفحة والنقر على رابط "اتصل بنا".
إذا ألقيت نظرة على الكود المصدري لعلامة التبويب "اتصل بنا" ، وهي إحدى طرق pentesting التي أقوم بها طوال الوقت ، ستلاحظ هذا السطر.
فكر في الأمر! أسمع أن الكثيرين على مرأى من هذا قالوا: "واو"! ذات مرة أجريت اختبار الاختراق لمصرف ملياردير على سبيل المثال ، ولاحظت شيئًا مشابهًا هناك. لذلك ، لا نحتاج إلى حقن SQL أو البرمجة النصية عبر المواقع - لدينا الشيء الرئيسي ، شريط العناوين هذا.
لذلك ، دون مبالغة - أخبرنا البنك أن لديهم كلاهما - وأخصائي شبكة ومفتش ويب ، ولم يبدوا أي ملاحظات. أي أنهم اعتبروا أنه من الطبيعي أن يتم فتح ملف نصي وقراءته من خلال متصفح.
أي أنه يمكنك فقط قراءة الملف مباشرة من نظام الملفات. قال لي رئيس فريقهم الأمني ، "نعم ، وجد أحد الماسحات هذه الثغرة الأمنية ، لكنه اعتبرها ثانوية." أجبته ، حسناً ، أعطني دقيقة. لقد كتبت اسم الملف = .. / .. / .. / .. / boot.ini في شريط العناوين وتمكنت من قراءة ملف تمهيد نظام الملفات!
لهذا قالوا لي: "لا ، لا ، لا ، هذه ليست ملفات مهمة"! أجبته - لكنه خادم 2008 ، أليس كذلك؟ قالوا نعم هو. أقول - لكن هذا الخادم يحتوي على ملف تكوين موجود في الدليل الجذر للخادم ، أليس كذلك؟ يجيبون: "صحيح". أقول "رائع" ، "ماذا لو فعل المهاجم هذا" ، وأكتب اسم الملف = web.config في شريط العناوين. يقولون - فماذا ، لا ترى أي شيء على الشاشة؟
أقول - ماذا لو نقرت بزر الماوس الأيمن على الشاشة واخترت خيار "إظهار رمز الصفحة"؟ وماذا سأجد هنا؟ "لا شيء حرج"؟ سأرى كلمة مرور مسؤول الخادم!
وأنت تقول ما من مشكلة هنا؟
لكن الجزء المفضل لدي هو الجزء التالي. لا تسمح لي بتشغيل الأوامر في المربع ، ولكن يمكنني سرقة كلمة مرور المسؤول وقاعدة البيانات لخادم الويب ، وإلقاء نظرة على قاعدة البيانات بأكملها ، واستخراج جميع عناصر فشل النظام وقواعد البيانات ، والابتعاد عن كل ذلك. هذا هو الحال عندما يقول الشرير "يا رجل ، اليوم يوم عظيم"!
لا تدع منتجات السلامة تصبح مرضك! لا تدع منتجات الأمان تجعلك مريضًا! ابحث عن بعض المهووسين ، وامنحهم جميع تذكارات Star Trek تلك ، واجعلهم مهتمين ، وشجعهم على البقاء معك ، لأن هؤلاء الكريهون الذين لا يستحمون يوميًا هم الذين يجعلون شبكاتك تعمل كما يلي! هؤلاء هم الأشخاص الذين سيساعدون منتجات الأمان الخاصة بك على العمل بشكل صحيح.
أخبرني ، كم منكم قادر على البقاء في نفس الغرفة لفترة طويلة مع شخص يقول باستمرار: "أوه ، أحتاج إلى طباعة هذا السيناريو على وجه السرعة!" ، ومن هو مشغول بهذا طوال الوقت؟ لكنك تحتاج إلى أشخاص يجعلون منتجاتك الأمنية تعمل.
للتأكيد ، فإن المنتجات الأمنية غبية لأن الأضواء دائمًا ما تكون خاطئة ، فهم يقومون بأشياء سيئة باستمرار ، ولا يوفرون الأمان. لم أر مطلقًا منتجًا أمنيًا جيدًا لا يتطلب من شخص لديه مفك براغي تعديله حيث يحتاج إلى تشغيله بشكل طبيعي أو أقل. إنها مجرد قائمة ضخمة من القواعد تقول إنها سيئة ، وهذا كل شيء!
لذا يا رفاق ، أريدكم أن تهتموا بالتعليم ، لأشياء مثل الأمن والفنون التطبيقية ، لأن هناك العديد من الدورات التدريبية المجانية عبر الإنترنت حول القضايا الأمنية. تعلم لغة بايثون ، وتعلم التجميع ، وتعلم اختبار تطبيقات الويب.
إليك ما سيساعدك حقًا على تأمين شبكتك. الأشخاص الأذكياء يحمون الشبكات ومنتجات الشبكة لا تحمي! عد إلى العمل وأخبر رئيسك أنك بحاجة إلى مزيد من الميزانية لمزيد من الأشخاص الأذكياء ، وأنا أعلم أنها أزمة الآن ، لكن أخبره على أي حال أننا بحاجة إلى المزيد من المال للأشخاص لتثقيفهم. إذا اشترينا منتجًا ولكننا لم نشتري دورة تدريبية حول كيفية استخدامه لأنه باهظ الثمن ، فلماذا نشتريه على الإطلاق إذا كنا لن نعلم الناس كيفية استخدامه؟
لقد عملت مع الكثير من بائعي منتجات الأمان ، لقد أمضيت حياتي كلها تقريبًا في تنفيذ هذه المنتجات ، وقد سئمت من كل عناصر التحكم في الوصول إلى الشبكة والأشياء لأنني قمت بتثبيت وتشغيل كل هذه المنتجات غير المرغوبة. ذات يوم ذهبت إلى أحد العملاء ، وأرادوا تنفيذ معيار 802.1x لبروتوكول EAP ، لذلك كان لديهم عناوين MAC وعناوين ثانوية لكل منفذ. جئت ورأيت أنها سيئة ، استدرت وبدأت في الضغط على الأزرار الموجودة على الطابعة. كما تعلم ، يمكن للطابعة طباعة صفحة اختبار معدات الشبكة بجميع عناوين MAC وعناوين IP. لكن اتضح أن الطابعة لا تدعم معيار 802.1x ، لذا يجب استبعادها.
ثم قمت بفصل الطابعة وغيرت عنوان MAC الخاص بجهاز الكمبيوتر المحمول الخاص بي إلى عنوان MAC الخاص بالطابعة وقمت بتوصيل الكمبيوتر المحمول الخاص بي ، وبالتالي تجاوز حل MAC الباهظ الثمن ، فكر في الأمر! إذن ما الفائدة التي يمكن أن يقدمها حل MAC هذا بالنسبة لي إذا كان بإمكان أي شخص ببساطة تمرير أي جهاز كطابعة أو هاتف VoIP؟
بالنسبة لي اليوم ، فإن pentesting يتعلق بقضاء الوقت في محاولة فهم وفهم منتج الأمان الذي اشتراه عميلي. الآن كل بنك أقوم به اختبار اختراق لديه كل هذه HIPS و NIPS و LAUGTHS و MACS ومجموعة كاملة من الاختصارات الأخرى التي تمتص. لكني أحاول معرفة ما تحاول هذه المنتجات فعله وكيف تحاول القيام بذلك. بعد ذلك ، بمجرد أن أكتشف المنهجية والمنطق الذي يستخدمونه لتوفير الحماية ، يصبح الالتفاف حولها أمرًا صعبًا على الإطلاق.
يُطلق على المنتج المفضل لدي ، والذي سأتركك معه ، MS 1103. إنه استغلال قائم على المتصفح يقوم برش HIPS أو توقيع منع اختراق المضيف أو توقيعات منع اختراق المضيف. في الواقع ، الغرض منه هو تجاوز توقيعات HIPS. لا أريد أن أريكم كيف يعمل لأنني لا أريد أن أستغرق الوقت الكافي لإثبات ذلك ، لكنه يقوم بعمل رائع لتجاوز هذه الحماية ، وأريد منك أن تتبناها.
حسنًا يا رفاق ، سأرحل الآن.
بعض الاعلانات 🙂
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المحتوى المثير للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، , تناظرية فريدة من خوادم المستوى المبتدئ ، اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
Dell R730xd أرخص مرتين في مركز بيانات Equinix Tier IV في أمستردام؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com