nói về các công cụ hữu ích cho pentester. Trong bài viết mới, chúng ta sẽ xem xét các công cụ phân tích tính bảo mật của ứng dụng web.
Đồng nghiệp của chúng tôi Tôi đã làm một cái gì đó như thế này khoảng bảy năm trước. Thật thú vị khi xem công cụ nào đã giữ được và củng cố vị trí của chúng, công cụ nào đã lùi về phía sau và hiện hiếm khi được sử dụng.
Lưu ý rằng điều này cũng bao gồm Burp Suite, nhưng sẽ có một ấn phẩm riêng về nó và các plugin hữu ích của nó.
Содержание:
Tích lũy
- công cụ Go để tìm kiếm và liệt kê các tên miền phụ DNS và ánh xạ mạng bên ngoài. Amass là một dự án OWASP được thiết kế để cho người ngoài thấy các tổ chức trên Internet trông như thế nào. Amass lấy tên miền phụ theo nhiều cách khác nhau; công cụ này sử dụng cả phép liệt kê đệ quy các tên miền phụ và tìm kiếm nguồn mở.
Để khám phá các phân đoạn mạng được kết nối với nhau và số hệ thống tự trị, Amass sử dụng địa chỉ IP thu được trong quá trình hoạt động. Tất cả thông tin tìm thấy được sử dụng để xây dựng bản đồ mạng.
Ưu điểm:
- Các kỹ thuật thu thập thông tin bao gồm:
* DNS - tìm kiếm từ điển tên miền phụ, tên miền phụ bruteforce, tìm kiếm thông minh bằng cách sử dụng các đột biến dựa trên tên miền phụ được tìm thấy, truy vấn DNS ngược và tìm kiếm máy chủ DNS nơi có thể thực hiện yêu cầu chuyển vùng (AXFR);* Tìm kiếm nguồn mở - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Tìm kiếm cơ sở dữ liệu chứng chỉ TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Sử dụng API của công cụ tìm kiếm - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Tìm kiếm các kho lưu trữ web trên Internet: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Tích hợp với Maltego;
- Cung cấp phạm vi bao phủ đầy đủ nhất về nhiệm vụ tìm kiếm tên miền phụ DNS.
Nhược điểm:
- Hãy cẩn thận với amass.netdomains - nó sẽ cố gắng liên hệ với mọi địa chỉ IP trong cơ sở hạ tầng đã xác định và lấy tên miền từ tra cứu DNS ngược và chứng chỉ TLS. Đây là một kỹ thuật "cao cấp", nó có thể tiết lộ các hoạt động tình báo của bạn trong tổ chức đang bị điều tra.
- Mức tiêu thụ bộ nhớ cao, có thể tiêu tốn tới 2 GB RAM ở các cài đặt khác nhau, điều này sẽ không cho phép bạn chạy công cụ này trên đám mây trên VDS giá rẻ.
Altdn
- một công cụ Python để biên soạn từ điển nhằm liệt kê các tên miền phụ DNS. Cho phép bạn tạo nhiều biến thể của tên miền phụ bằng cách sử dụng các đột biến và hoán vị. Để làm điều này, các từ thường thấy trong tên miền phụ sẽ được sử dụng (ví dụ: test, dev, staging), tất cả các đột biến và hoán vị được áp dụng cho các tên miền phụ đã biết, có thể được gửi tới đầu vào Altdns. Đầu ra là danh sách các biến thể của tên miền phụ có thể tồn tại và danh sách này sau này có thể được sử dụng cho hành vi tấn công vũ phu DNS.
Ưu điểm:
- Hoạt động tốt với các tập dữ liệu lớn.
thủy
- trước đây được biết đến nhiều hơn như một công cụ khác để tìm kiếm tên miền phụ, nhưng bản thân tác giả đã từ bỏ công cụ này để chuyển sang Amass nói trên. Bây giờ aquatone đã được viết lại trong Go và hướng tới việc trinh sát sơ bộ trên các trang web nhiều hơn. Để thực hiện điều này, aquatone đi qua các miền được chỉ định và tìm kiếm các trang web trên các cổng khác nhau, sau đó nó thu thập tất cả thông tin về trang web và chụp ảnh màn hình. Thuận tiện cho việc trinh sát sơ bộ nhanh chóng các trang web, sau đó bạn có thể chọn mục tiêu ưu tiên để tấn công.
Ưu điểm:
- Đầu ra tạo ra một nhóm tệp và thư mục thuận tiện để sử dụng khi làm việc thêm với các công cụ khác:
* Báo cáo HTML với các ảnh chụp màn hình được thu thập và tiêu đề phản hồi được nhóm theo mức độ tương đồng;* Một tệp có tất cả các URL nơi tìm thấy trang web;
* Tệp có số liệu thống kê và dữ liệu trang;
* Một thư mục chứa các tệp chứa tiêu đề phản hồi từ các mục tiêu được tìm thấy;
* Một thư mục chứa các tệp chứa nội dung phản hồi từ các mục tiêu được tìm thấy;
* Ảnh chụp màn hình của các trang web được tìm thấy;
- Hỗ trợ làm việc với các báo cáo XML từ Nmap và Masscan;
- Sử dụng Chrome/Chromium không đầu để hiển thị ảnh chụp màn hình.
Nhược điểm:
- Nó có thể thu hút sự chú ý của các hệ thống phát hiện xâm nhập, vì vậy nó đòi hỏi phải có cấu hình.
Ảnh chụp màn hình được chụp cho một trong các phiên bản cũ của aquatone (v0.5.0), trong đó tìm kiếm tên miền phụ DNS đã được triển khai. Các phiên bản cũ hơn có thể được tìm thấy tại .
MassDNS
là một công cụ khác để tìm tên miền phụ DNS. Điểm khác biệt chính của nó là nó thực hiện các truy vấn DNS trực tiếp tới nhiều trình phân giải DNS khác nhau và thực hiện với tốc độ đáng kể.
Ưu điểm:
- Nhanh - có khả năng phân giải hơn 350 nghìn tên mỗi giây.
Nhược điểm:
- MassDNS có thể gây tải đáng kể cho các trình phân giải DNS đang được sử dụng, điều này có thể dẫn đến lệnh cấm các máy chủ đó hoặc khiếu nại tới ISP của bạn. Ngoài ra, nó sẽ đặt một tải trọng lớn lên các máy chủ DNS của công ty nếu họ có chúng và liệu họ có chịu trách nhiệm về các miền mà bạn đang cố gắng giải quyết hay không.
- Danh sách các trình phân giải DNS hiện đã lỗi thời, nhưng nếu bạn chọn các trình phân giải DNS bị hỏng và thêm các trình phân giải DNS mới đã biết thì mọi thứ sẽ ổn.
Ảnh chụp màn hình của aquatone v0.5.0
nsec3map
là một công cụ Python để có được danh sách đầy đủ các miền được bảo vệ DNSSEC.
Ưu điểm:
- Nhanh chóng phát hiện các máy chủ trong vùng DNS với số lượng truy vấn tối thiểu nếu hỗ trợ DNSSEC được bật trong vùng đó;
- Bao gồm một plugin dành cho John the Ripper có thể được sử dụng để bẻ khóa các hàm băm NSEC3 thu được.
Nhược điểm:
- Nhiều lỗi DNS không được xử lý đúng cách;
- Không có sự song song tự động trong việc xử lý các bản ghi NSEC - bạn phải phân chia không gian tên theo cách thủ công;
- Tiêu thụ bộ nhớ cao.
Acunetix
— một trình quét lỗ hổng web tự động hóa quá trình kiểm tra tính bảo mật của các ứng dụng web. Kiểm tra ứng dụng để tìm SQL SQL, XSS, XXE, SSRF và nhiều lỗ hổng web khác. Tuy nhiên, giống như bất kỳ trình quét nào khác, nhiều lỗ hổng web không thay thế được pentester vì nó không thể tìm thấy chuỗi lỗ hổng hoặc lỗ hổng phức tạp trong logic. Nhưng nó bao gồm rất nhiều lỗ hổng khác nhau, bao gồm nhiều CVE khác nhau mà pentester có thể đã quên, vì vậy nó rất thuận tiện cho việc giải phóng bạn khỏi các cuộc kiểm tra thông thường.
Ưu điểm:
- Mức độ dương tính giả thấp;
- Kết quả có thể được xuất dưới dạng báo cáo;
- Thực hiện một số lượng lớn các cuộc kiểm tra để tìm các lỗ hổng khác nhau;
- Quét song song nhiều máy chủ.
Nhược điểm:
- Không có thuật toán loại bỏ trùng lặp (Acunetix sẽ coi các trang giống nhau về chức năng là khác nhau vì chúng dẫn đến các URL khác nhau), nhưng các nhà phát triển đang nghiên cứu nó;
- Yêu cầu cài đặt trên một máy chủ web riêng, điều này làm phức tạp việc kiểm tra hệ thống máy khách có kết nối VPN và sử dụng máy quét trong một phân đoạn biệt lập của mạng máy khách cục bộ;
- Dịch vụ đang được nghiên cứu có thể gây ồn ào, chẳng hạn như bằng cách gửi quá nhiều vectơ tấn công tới biểu mẫu liên hệ trên trang web, do đó làm phức tạp đáng kể quy trình kinh doanh;
- Nó là một giải pháp độc quyền và theo đó, không phải miễn phí.
Tìm kiếm
- một công cụ Python dành cho các thư mục và tệp cưỡng bức trên các trang web.
Ưu điểm:
- Có thể phân biệt được trang “200 OK” thật với trang “200 OK” nhưng có dòng chữ “không tìm thấy trang”;
- Đi kèm với một từ điển tiện dụng có sự cân bằng tốt giữa kích thước và hiệu quả tìm kiếm. Chứa các đường dẫn tiêu chuẩn chung cho nhiều ngăn xếp công nghệ và CMS;
- Định dạng từ điển riêng của nó, cho phép bạn đạt được hiệu quả tốt và tính linh hoạt trong việc liệt kê các tệp và thư mục;
- Đầu ra thuận tiện - văn bản thuần túy, JSON;
- Nó có thể thực hiện điều chỉnh - tạm dừng giữa các yêu cầu, điều này rất quan trọng đối với bất kỳ dịch vụ yếu nào.
Nhược điểm:
- Các tiện ích mở rộng phải được chuyển dưới dạng chuỗi, điều này sẽ bất tiện nếu bạn cần chuyển nhiều tiện ích mở rộng cùng một lúc;
- Để sử dụng từ điển của bạn, nó sẽ cần được sửa đổi một chút sang định dạng từ điển Dirsearch để đạt hiệu quả tối đa.
chết tiệt
- Trình làm mờ ứng dụng web Python. Có lẽ là một trong những web Phasers nổi tiếng nhất. Nguyên tắc rất đơn giản: wfuzz cho phép bạn phân chia bất kỳ vị trí nào trong yêu cầu HTTP, điều này giúp bạn có thể phân chia các tham số GET/POST, tiêu đề HTTP, bao gồm Cookie và các tiêu đề xác thực khác theo từng giai đoạn. Đồng thời, nó cũng thuận tiện cho việc sử dụng các thư mục và tập tin đơn giản mà bạn cần có một từ điển tốt. Nó cũng có một hệ thống lọc linh hoạt, trong đó bạn có thể lọc phản hồi từ trang web theo các thông số khác nhau, cho phép bạn đạt được kết quả hiệu quả.
Ưu điểm:
- Đa chức năng - cấu trúc mô-đun, lắp ráp mất vài phút;
- Cơ chế lọc và làm mờ thuận tiện;
- Bạn có thể phân đoạn bất kỳ phương thức HTTP nào cũng như bất kỳ vị trí nào trong yêu cầu HTTP.
Nhược điểm:
- Đang trong quá trình phát triển.
fufu
— một trình làm mờ web trong Go, được tạo theo “hình ảnh và chân dung” của wfuzz, cho phép bạn brute các tệp, thư mục, đường dẫn URL, tên và giá trị của các tham số GET/POST, tiêu đề HTTP, bao gồm cả tiêu đề Máy chủ cho brute Force của các máy chủ ảo. wfuzz khác với người anh em của nó ở tốc độ cao hơn và một số tính năng mới, chẳng hạn như nó hỗ trợ từ điển định dạng Dirsearch.
Ưu điểm:
- Các bộ lọc tương tự như bộ lọc wfuzz, chúng cho phép bạn cấu hình linh hoạt;
- Cho phép bạn làm mờ các giá trị tiêu đề HTTP, dữ liệu yêu cầu POST và các phần khác nhau của URL, bao gồm tên và giá trị của tham số GET;
- Bạn có thể chỉ định bất kỳ phương thức HTTP nào.
Nhược điểm:
- Đang trong quá trình phát triển.
cá bống tượng
— một công cụ Go để trinh sát, có hai chế độ hoạt động. Cái đầu tiên được sử dụng để tấn công các tập tin và thư mục trên một trang web, cái thứ hai được sử dụng để tấn công các tên miền phụ DNS. Công cụ này ban đầu không hỗ trợ liệt kê đệ quy các tệp và thư mục, tất nhiên, điều này giúp tiết kiệm thời gian, nhưng mặt khác, sức mạnh vũ phu của từng điểm cuối mới trên trang web phải được khởi chạy riêng.
Ưu điểm:
- Tốc độ hoạt động cao cho cả việc tìm kiếm mạnh mẽ các tên miền phụ DNS cũng như tìm kiếm mạnh mẽ các tập tin và thư mục.
Nhược điểm:
- Phiên bản hiện tại không hỗ trợ cài đặt tiêu đề HTTP;
- Theo mặc định, chỉ một số mã trạng thái HTTP (200,204,301,302,307) được coi là hợp lệ.
Arjun
- một công cụ tấn công mạnh mẽ các tham số HTTP ẩn trong tham số GET/POST, cũng như trong JSON. Từ điển tích hợp có 25 từ, Ajrun kiểm tra trong gần 980 giây. Bí quyết là Ajrun không kiểm tra từng tham số riêng biệt mà kiểm tra ~ 30 tham số cùng một lúc và xem câu trả lời có thay đổi hay không. Nếu câu trả lời đã thay đổi, nó sẽ chia 1000 tham số này thành hai phần và kiểm tra xem phần nào trong số này ảnh hưởng đến câu trả lời. Do đó, bằng cách sử dụng tìm kiếm nhị phân đơn giản, một tham số hoặc một số tham số ẩn được tìm thấy có ảnh hưởng đến câu trả lời và do đó có thể tồn tại.
Ưu điểm:
- Tốc độ cao nhờ tìm kiếm nhị phân;
- Hỗ trợ các tham số GET/POST, cũng như các tham số ở dạng JSON;
Plugin cho Burp Suite hoạt động theo nguyên tắc tương tự - , tính năng này cũng rất hữu ích trong việc tìm kiếm các tham số HTTP ẩn. Chúng tôi sẽ cho bạn biết thêm về điều này trong bài viết sắp tới về Burp và các plugin của nó.
Trình tìm liên kết
- tập lệnh Python để tìm kiếm liên kết trong tệp JavaScript. Hữu ích cho việc tìm kiếm các điểm cuối/URL bị ẩn hoặc bị lãng quên trong ứng dụng web.
Ưu điểm:
- Nhanh;
- Có một plugin đặc biệt dành cho Chrome dựa trên LinkFinder.
.
Nhược điểm:
- Kết luận cuối cùng bất tiện;
- Không phân tích JavaScript theo thời gian;
- Một logic khá đơn giản để tìm kiếm các liên kết - nếu JavaScript bị xáo trộn bằng cách nào đó hoặc các liên kết ban đầu bị thiếu và được tạo động, thì nó sẽ không thể tìm thấy bất kỳ thứ gì.
JSParser
là một tập lệnh Python sử dụng и để phân tích các URL tương đối từ các tệp JavaScript. Rất hữu ích để phát hiện các yêu cầu AJAX và biên soạn danh sách các phương thức API mà ứng dụng tương tác. Hoạt động hiệu quả khi kết hợp với LinkFinder.
Ưu điểm:
- Phân tích nhanh các tệp JavaScript.
sơ đồ vuông
có lẽ là một trong những công cụ nổi tiếng nhất để phân tích các ứng dụng web. Sqlmap tự động hóa việc tìm kiếm và vận hành các thao tác chèn SQL, hoạt động với một số phương ngữ SQL và có một số lượng lớn các kỹ thuật khác nhau trong kho vũ khí của nó, từ các trích dẫn thẳng đến các vectơ phức tạp để chèn SQL dựa trên thời gian. Ngoài ra, nó còn có nhiều kỹ thuật để khai thác sâu hơn cho các DBMS khác nhau, vì vậy nó không chỉ hữu ích như một công cụ quét các lệnh chèn SQL mà còn là một công cụ mạnh mẽ để khai thác các lệnh chèn SQL đã được tìm thấy.
Ưu điểm:
- Một số lượng lớn các kỹ thuật và vectơ khác nhau;
- Số lượng dương tính giả thấp;
- Rất nhiều tùy chọn tinh chỉnh, nhiều kỹ thuật khác nhau, cơ sở dữ liệu đích, tập lệnh giả mạo để vượt qua WAF;
- Khả năng tạo kết xuất đầu ra;
- Ví dụ, nhiều khả năng hoạt động khác nhau đối với một số cơ sở dữ liệu - tự động tải/dỡ tệp, có được khả năng thực thi các lệnh (RCE) và các khả năng khác;
- Hỗ trợ kết nối trực tiếp tới cơ sở dữ liệu bằng dữ liệu thu được trong một cuộc tấn công;
- Bạn có thể gửi tệp văn bản với kết quả của Burp làm đầu vào - không cần phải soạn thủ công tất cả các thuộc tính dòng lệnh.
Nhược điểm:
- Ví dụ, rất khó để tùy chỉnh để viết một số séc của riêng bạn do tài liệu khan hiếm cho việc này;
- Nếu không có cài đặt thích hợp, nó sẽ thực hiện một bộ kiểm tra không đầy đủ, điều này có thể gây hiểu nhầm.
Bản đồ NoSQL
— một công cụ Python để tự động hóa việc tìm kiếm và khai thác các nội dung tiêm NoSQL. Nó rất thuận tiện khi sử dụng không chỉ trong cơ sở dữ liệu NoSQL mà còn trực tiếp khi kiểm tra các ứng dụng web sử dụng NoSQL.
Ưu điểm:
- Giống như sqlmap, nó không chỉ tìm ra lỗ hổng tiềm ẩn mà còn kiểm tra khả năng khai thác của nó đối với MongoDB và CouchDB.
Nhược điểm:
- Không hỗ trợ NoSQL cho Redis, Cassandra, việc phát triển đang được tiến hành theo hướng này.
oxml_xxxe
— một công cụ để nhúng các khai thác XXE XML vào nhiều loại tệp khác nhau sử dụng định dạng XML ở một số dạng.
Ưu điểm:
- Hỗ trợ nhiều định dạng phổ biến như DOCX, ODT, SVG, XML.
Nhược điểm:
- Hỗ trợ PDF, JPEG, GIF chưa được triển khai đầy đủ;
- Chỉ tạo một tập tin. Để giải quyết vấn đề này bạn có thể sử dụng công cụ , có thể tạo một số lượng lớn tệp tải trọng ở những nơi khác nhau.
Các tiện ích trên thực hiện rất tốt việc kiểm tra XXE khi tải các tài liệu chứa XML. Nhưng cũng nên nhớ rằng bạn có thể tìm thấy trình xử lý định dạng XML trong nhiều trường hợp khác, ví dụ: XML có thể được sử dụng làm định dạng dữ liệu thay vì JSON.
Do đó, chúng tôi khuyên bạn nên chú ý đến kho lưu trữ sau, nơi chứa một số lượng lớn các tải trọng khác nhau: .
tplmap
- một công cụ Python để tự động xác định và khai thác các lỗ hổng Tiêm mẫu phía máy chủ; nó có các cài đặt và cờ tương tự như sqlmap. Sử dụng một số kỹ thuật và vectơ khác nhau, bao gồm cả việc chèn mù, đồng thời có các kỹ thuật để thực thi mã và tải/tải lên các tệp tùy ý. Ngoài ra, anh ấy còn có trong kho kỹ thuật của mình cho hàng tá công cụ tạo mẫu khác nhau và một số kỹ thuật để tìm kiếm các đoạn mã giống eval() trong Python, Ruby, PHP, JavaScript. Nếu thành công, nó sẽ mở ra một bảng điều khiển tương tác.
Ưu điểm:
- Một số lượng lớn các kỹ thuật và vectơ khác nhau;
- Hỗ trợ nhiều công cụ kết xuất mẫu;
- Rất nhiều kỹ thuật vận hành.
CeWL
- một trình tạo từ điển trong Ruby, được tạo ra để trích xuất các từ duy nhất từ một trang web cụ thể, đi theo các liên kết trên trang web đến độ sâu cụ thể. Từ điển được biên soạn gồm các từ duy nhất sau này có thể được sử dụng để tấn công mật khẩu trên các dịch vụ hoặc các tệp và thư mục trên cùng một trang web hoặc để tấn công các hàm băm thu được bằng cách sử dụng hashcat hoặc John the Ripper. Hữu ích khi biên soạn danh sách mật khẩu tiềm năng “mục tiêu”.
Ưu điểm:
- Dễ sử dụng.
Nhược điểm:
- Bạn cần cẩn thận với độ sâu tìm kiếm để không chiếm thêm một tên miền.
Điểm yếu
- một dịch vụ chứa nhiều từ điển với mật khẩu duy nhất. Cực kỳ hữu ích cho các tác vụ khác nhau liên quan đến bẻ khóa mật khẩu, từ việc bẻ khóa tài khoản trực tuyến đơn giản trên các dịch vụ mục tiêu cho đến việc tấn công vũ phu ngoại tuyến các hàm băm nhận được bằng cách sử dụng hoặc . Nó chứa khoảng 8 tỷ mật khẩu có độ dài từ 4 đến 25 ký tự.
Ưu điểm:
- Chứa cả từ điển cụ thể và từ điển có mật khẩu phổ biến nhất - bạn có thể chọn một từ điển cụ thể cho nhu cầu của riêng mình;
- Từ điển được cập nhật và bổ sung mật khẩu mới;
- Từ điển được sắp xếp theo hiệu quả. Bạn có thể chọn tùy chọn cho cả việc sử dụng vũ lực trực tuyến nhanh chóng và lựa chọn mật khẩu chi tiết từ một cuốn từ điển đồ sộ với những rò rỉ mới nhất;
- Có một máy tính hiển thị thời gian cần thiết để tìm ra mật khẩu trên thiết bị của bạn.
Chúng tôi muốn gộp các công cụ kiểm tra CMS vào một nhóm riêng: WPScan, JoomScan và AEM hacker.
AEM_hacker
là một công cụ để xác định các lỗ hổng trong ứng dụng Adobe Experience Manager (AEM).
Ưu điểm:
- Có thể xác định các ứng dụng AEM từ danh sách các URL được gửi đến đầu vào của nó;
- Chứa các tập lệnh để lấy RCE bằng cách tải shell JSP hoặc khai thác SSRF.
JoomScan
— một công cụ Perl để tự động phát hiện các lỗ hổng khi triển khai Joomla CMS.
Ưu điểm:
- Có thể tìm thấy các lỗi cấu hình và các vấn đề với cài đặt quản trị;
- Liệt kê các phiên bản Joomla và các lỗ hổng liên quan, tương tự cho các thành phần riêng lẻ;
- Chứa hơn 1000 cách khai thác các thành phần Joomla;
- Đầu ra của các báo cáo cuối cùng ở định dạng văn bản và HTML.
WPScan
- một công cụ để quét các trang web WordPress, nó có lỗ hổng trong kho vũ khí của mình cho cả công cụ WordPress và một số plugin.
Ưu điểm:
- Có khả năng liệt kê không chỉ các plugin và chủ đề WordPress không an toàn mà còn lấy danh sách người dùng và tệp TimThumb;
- Có thể tiến hành các cuộc tấn công vũ phu trên các trang web WordPress.
Nhược điểm:
- Nếu không có cài đặt thích hợp, nó sẽ thực hiện một bộ kiểm tra không đầy đủ, điều này có thể gây hiểu nhầm.
Nói chung, những người khác nhau thích những công cụ khác nhau cho công việc: tất cả chúng đều tốt theo cách riêng của họ và những gì người này thích có thể không phù hợp với người khác. Nếu bạn cho rằng chúng tôi đã bỏ qua một số tiện ích tốt một cách không công bằng, hãy viết về điều đó trong phần bình luận!
Nguồn: www.habr.com