《08Web编程安全课件.pptx》由会员分享,可在线阅读,更多相关《08Web编程安全课件.pptx(57页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、WebWeb编程安全编程安全第第第第8 8章章章章 1 Web概述1.1 Web系统Web是目前比较流行的软件编程方法之一,也是B/S模式的一种实现方式,由于Web编程的方法和传统C/S程序的不相同,因此,Web编程中的安全问题也具有其特殊性。本讲主要针对Web编程中的一些安全问题进行讲解。首先讲解了Web运行的原理,然后讲解了URL操作攻击,接下来针对Web程序的特性,讲解了四种页面之间传递状态的技术,并比较了它们的安全性,最后针对两种常见的安全问题:跨站脚本和SQL注入进行了详细叙述。应该指出的是,本讲所列举的并不是Web编程安全的全部内容,只是讲述了一些常见的安全问题。Web运行的原理W
2、eb程序在架构上属于B/S(浏览器/服务器)模式。随着Internet技术的兴起,B/S结构成为对C/S结构的一种改进。这种结构有如下特点:程序完全放在应用服务器上,并在应用服务器上运行,程序完全放在应用服务器上,并在应用服务器上运行,通过应用服务器同数据库服务器进行通信;通过应用服务器同数据库服务器进行通信;客户机上无需安装任何客户端软件,系统界面通过客户客户机上无需安装任何客户端软件,系统界面通过客户端浏览器展现,客户端只需要在浏览器内输入端浏览器展现,客户端只需要在浏览器内输入URL;修改了应用系统,只需要维护应用服务器。修改了应用系统,只需要维护应用服务器。由于B/S结构的优点,现在的
3、网络应用系统中,B/S系统占绝对主流地位。了解了什么是Web程序,我们再来深入了解一下Web技术的相关特点。在Web程序结构中,浏览器端与应用服务器端采用请求/响应模式进行交互,如图所示。过程描述如下:1:客户端:客户端(通常是浏览器,如通常是浏览器,如IE、Firefox等等)接受用户的输入,如接受用户的输入,如用户名、密码、查询字符串等;用户名、密码、查询字符串等;2:客户端向应用服务器发送请求:输入之后,提交,客户端把请:客户端向应用服务器发送请求:输入之后,提交,客户端把请求信息(包含表单中的输入以及其他请求等信息)发送到应用服务求信息(包含表单中的输入以及其他请求等信息)发送到应用服
4、务器端,客户端等待服务器端的响应;器端,客户端等待服务器端的响应;3:数据处理:应用服务器端使用某种脚本语言,来访问数据库,:数据处理:应用服务器端使用某种脚本语言,来访问数据库,查询数据,并获得查询结果;查询数据,并获得查询结果;4:数据库向应用服务器中的程序返回结果;:数据库向应用服务器中的程序返回结果;5:发送响应:应用服务器端向客户端发送响应信息(一般是动态:发送响应:应用服务器端向客户端发送响应信息(一般是动态生成的生成的HTML页面);页面);6:显示:由用户的浏览器解释:显示:由用户的浏览器解释HTML代码,呈现用户界面。代码,呈现用户界面。1.2 Web编程可以说,不同的Web
5、编程语言都对应着不同的Web编程方式,目前常见的应用于Web的编程语言主要有以下几种:1:CGI(Common Gateway Interface)。CGI全称是“公共网关接口”,其程序须运行在服务器端。该技术可以用来解释处理来自Web客户端的输入信息,并在服务器进行相应的处理,最后将相应的结果反馈给浏览器。CGI技术体系的核心是CGI程序,负责处理客户端的请求。早期有很多Web程序用CGI编写,但是由于其性能较低(如对多用户的请求采用多进程机制)和编程复杂,目前使用较少。2:PHP(PHP:Hypertext Preprocessor)。PHP是一种可嵌入HTML、可在服务器端执行的内嵌式脚
6、本语言,语言的风格比较类似于C语言,使用范围比较广泛。其语法混合了 C、Java、Perl,比 CGI 或者 Perl能够更快速地执行动态网页。PHP执行效率比CGI要高许多;另外,它支持几乎所有流行的数据库以及操作系统。3:JSP(Java Server Pages)。JSP是由Sun公司提出,其他许多公司一起参与建立的一种动态网页技术标准。JSP技术在传统的网页HTML文件(*.htm,*.html)中嵌入Java程序段(Scriptlet)、Java表达式(Expression)或者JSP标记(tag),从而形成JSP文件(*.jsp),在服务器端运行。和PHP一样,JSP开发的Web应
7、用也是跨平台的,另外,JSP还支持自定义标签。JSP具备了Java技术面向对象,平台无关性且安全可靠的优点,值得一提的是,众多大公司都支持JSP技术的服务器,如IBM、Oracle公司等,使得JSP在商业应用的开发方面成为一种流行的语言。4:ASP(Active Server Page)ASP,意为“动态服务器页面”,是微软公司开发的一种编程规范,最初目的是代替CGI脚本,可以运行于服务器端,与数据库和其它程序进行交互,可以包含HTML标记、文本、脚本以及COM组件等。由于其编写简便,快速开发支持较好,在中小型Web应用中,比较流行。5:JavaScript JavaScript是一种基于对象
8、和事件驱动的脚本语言,主要运行于客户端。JavaScript编写的程序在运行前不必编译,客户端浏览器可以直接来解释执行JavaScript。一般情况下,一些不用和服务器打交道的交互(如账号是否为空),就可以直接在客户端进行,给用户提供了一个较好的体验,减轻了服务器的负担。2 避免URL操作攻击2.1 URL的概念及其工作原理Web上有很多资源,如HTML文档、图像、视频、程序等,在访问时,它们的具体位置怎样确定呢?通常是利用URL。URL(Uniform Resoure Locator:统一资源定位器),是Internet上用来描述信息资源的字符串,可以帮助计算机来定位这些Web上可用资源。以
9、下是一个典型的URL例子:可以看出,URI一般由3把部分组成:访问资源的命名机制访问资源的命名机制(协议协议):http,实际上还有可能是,实际上还有可能是ftp等;等;存放资源的主机名:存放资源的主机名:localhost:8080;资源自身的名称,由路径表示:资源自身的名称,由路径表示:/Prj08/index.jsp;其他信息,如查询字符串等:其他信息,如查询字符串等:?username=guokehua。另外有一个概念,叫做统一资源标识(Uniform Resource Identifier,URI)。在网络领域,熟悉URL概念的人比熟悉URI的要多,实际上,URL是URI命名机制的一
10、个子集。另外还有一个概念是URN(Uniform Resource Name,统一资源名称):也用来标识Internet上的资源,但是通过使用一个独立于位置的名称来实现。URN也是URI的一个子集。三者关系如下:2.2 URL操作攻击URL操作攻击的原理,一般是通过URL来猜测某些资源的存放地址,从而非法访问受保护的资源。举一个例子,假如有一个教学管理系统,教师输入自己的账号、密码,可以看到他所教的班级的学生信息。系统中有一个学生表:还有一个教师表:系统流程如下:1:首先呈现给教师的是登录页面,如:,该页面代码中,首先显示一个表单:该表单将用户的账号和密码提交给一个控制器,控制器访问数据库,如
11、果通过验证,则将用户信息存放在session内,跳到welcome页面。2:登录成功后,教师会看到下图所示的welcome界面,:该页面中,首先从session中获取登陆用户名,然后结合两个表进行查询,得到班级学生姓名,在列表中,显示了该教师所在班级的学生;后面的链接负责将该学生的学号传给display.jsp。3:用户点击“王海”后面的“查看”链接,到达页面:,显示效果如下:该页面主要是根据传过来的值查询数据库中的学生表。将信息显示。表面上看上去,该程序没有任何问题。注意,前面的步骤中,点击“王海”右边的“查看”链接时,用于学生“王海”从数据库获取数据的URL为:因为王海的学号为0035,所
12、以,从客户端源代码上讲,“王海”右边的“查看”链接看起来是这样的:该URL非常直观,可以从中看到是获取stuno为0035的数据,因此,给了攻击者机会,你可以很容易尝试将如下URL输入到地址栏中:表示命令数据库查询学号为0001的学生信息,当然,可能刚开始的尝试或许得不到结果(该学号可能不存在),但是经过足够次数的尝试,总可以给攻击者得到结果的机会。如输入:查看 得到的内容为:因为“江民”的学号就是“0024”,所以“江民”的信息就显示了出来。这里就造成了一个不安全的现象:老师可以查询不是他班级上的学生的信息。更有甚者,如果网站足够不安全的话,攻击者可以不用登陆,直接输入上面格式的URL(如)
13、,将信息显示出来。这样编写导致该学校网站为URL操作攻击敞开了大门。2.3 解决方法如何解决以上URL操作攻击?程序员在编写Web应用的时候,可以从以下方面加以注意:1:为了避免非登陆用户进行访问,对于每一个只有登录成功才能访问的页面,应:为了避免非登陆用户进行访问,对于每一个只有登录成功才能访问的页面,应该进行该进行session的检查的检查(session检查的内容在后面提到检查的内容在后面提到);2:为限制用户访问未被授权的资源,可在查询时将登录用户的用户名也考虑进去。为限制用户访问未被授权的资源,可在查询时将登录用户的用户名也考虑进去。如王海的学号为如王海的学号为0035,所以王海右边
14、的,所以王海右边的“查看查看”链接可以设计为这样:链接可以设计为这样:这样,用于学生王海从数据库获取数据的这样,用于学生王海从数据库获取数据的URL为:为:在向数据库查询时,就可以首先检查“guokehua”是否在登录状态,然后根据学号(0035)和教师用户名(guokehua)综合进行查询。这样,攻击者单独输入学号,或者输入学号和未登录的用户名,都无法显示结果。查看3 页面状态值安全我们知道,HTTP是无状态的协议。Web页面本身无法向下一个页面传递信息,如果需要让下一个页面得知该页面中的值,除非通过服务器。因此,Web页面保持状态并传递给其他页面,是一个重要技术。Web页面之间传递数据,是
15、Web程序的重要功能,其流程如图8-3所示:其过程如下:页面页面1中输入数据中输入数据“guokehua”,提交给服务器端的,提交给服务器端的P2;P2获取数据,响应给客户端。获取数据,响应给客户端。问题的关键在于页面问题的关键在于页面1中的数据如何提交,页面中的数据如何提交,页面2中的数据如何获得。中的数据如何获得。举一个简单的案例:页面1中定义了一个数值变量,并通过计算,将其平方的值显示在界面上;同时页面1中有一个链接到页面2,要求点击链接,在页面2中显示该数字的立方。很明显,该应用中,页面2必须知道页面1中定义的那个变量。在在HTTP协议中一共有协议中一共有4种方法来完成这件事情:种方法
16、来完成这件事情:URL传值;传值;表单传值;表单传值;Cookie方法;方法;session方法。方法。这四种方法各有特点,各有安全性,本节将对其进行分析。3.1 URL传值以上面举的例子为例,可以将页面1中的变量通过URL方法传给页面2,格式为:如上例子,可以写成:urlP1.jsp运行,效果如下:页面2路径?参数名1=参数值1&参数名2=参数值2&页面底部显示了一个链接:到达urlP2,其链接内容为:相当于提交到服务器的urlP2.jsp,并给其一个参数number,值为12。此处urlP2代码为:urlP2.jsp点击urlP1.jsp中的链接,到达urlP2.jsp,效果如下:这说明,
17、可以顺利实现值的传递。该方法有如下问题:1:传输的数据只能是字符串,对数据类型具有一定限制;2:传输数据的值会在浏览器地址栏里面被看到。如上例子,当点击了链接到达urlP2.jsp,浏览器地址栏上的地址变为:number的值可以被人看到。从保密的角度讲,这是不安全的。特别是秘密性要求很严格的数据(如密码),不应该用URL方法来传值。但是,URL方法并不是一无是处,由于其简单性和平台支持的多样性(没有浏览器不支持URL),很多程序还是用URL传值比较方便。如下界面:可以通过链接来删除学生。用URL方法显得简洁方便。3.2 表单传值上面举的例子,通过URL方法,传递的数据可能被看到。为了避免这个问
18、题,我们可以用表单将页面1中的变量传给页面2,表单格式为:如上例子,可以写成formP1.jsp 运行,效果如下:隐藏表单网页制作中,input有一个type=hidden的选项,它是隐藏在网页中的的一个表单元素,并不在网页中显示出来,但是可以设置一些值。于是formP1代码可以改为formP1.jsp运行,效果为:传的值就被隐藏起来了。点击formP1.jsp中的按钮,到达formP2,效果为:但是,此时浏览器地址栏上的地址仍为:数据还是能够被看到。解决该问题的方法是将form的action属性设置为post(默认为get)。于是,formP1的代码变为:formP1.jsp再点击,在for
19、mP2中正常显示结果,此时,浏览器地址栏上的URL为:这说明,可以顺利实现值的传递,并且无法看到传递的信息。该方法有如下问题:1:和URL方法类似,该方法传输的数据,也只能是字符串,对数据类型具有一定限制;2:传输数据的值虽然可以保证在浏览器地址栏内不被看到,但是在客户端源代码里面也会被看到。如上例子,在formP1.jsp中,打开其源代码,如下:在中,要传递的number值被显示出来了。因此,从保密的角度讲,这也是不安全的。特别是秘密性要求很严格的数据(如密码),也不推荐用表单方法来传值。该数字的平方为:144 问题该隐藏表单中隐藏的内容非常直观,可以从客户端源代码中看到学号和课程编号,因此
20、,给了攻击者机会,攻击者可以在客户端通过修改源代码来修改任意学生的成绩:如将客户端源代码改为:就可以修改0016学生的语文成绩了!同样,更为严重的问题是,如果网站足够不安全的话,攻击者可以不用登陆,随意设计表单来访问你的页面。请您输入张海的语文成绩(可修改):输入成绩:3.3 Cookie方法在页面之间传递数据的过程中,Cookie是一种常见的方法。Cookie是一个小的文本数据,由服务器端生成,发送给客户端浏览器,客户端浏览器如果设置为启用cookie,则会将这个小文本数据保存到其某个目录下的文本文件内。客户端下次登录同一网站,浏览器则会自动将Cookie读入之后,传给服务器端。服务器端可以
21、对该Cookie进行读取并验证(当然也可以不读取)。一般情况下,Cookie中的值是以key-value的形式进行表达的。3.3 Cookie方法基于这个原理,上面的例子可以用Cookie来进行。即:在第一个页面中,将要共享的变量值保存在客户端Cookie文件内,在客户端访问第二个页面时,由于浏览器自动将Cookie读入之后,传给服务器端,因此只需要第二个页面中,由服务器端页面读取这个Cookie值即可。不同的语言中对Cookie有不同的操作方法,下面以JSP为例,来编写代码。看页面一的代码cookieP1.jsp。运行,显示结果为:页面上有一个链接到达cookieP2.jsp点击cookie
22、P1中的链接,到达cookieP2,效果为:也能够得到结果。存在的问题在客户端的浏览器上,我们看不到任何的和传递的值相关的信息,说明在客户端浏览器中,Cookie中的数据是安全的。但是就此也不能说Cookie是完全安全的。因为Cookie是以文件形式保存在客户端的,客户端存储的Cookie文件就可能敌方获知。在本例中,内容被保存在Cookie文件,如果使用的是windows XP,C盘是系统盘,该文件保存在:C:Documents and Settings当前用户名Cookies下。打开该目录,可以看到里面有一个文件:打开那个文本文件,内容为:number的值12可以被很清楚地找到。很明显,C
23、ookie也不是绝对安全的。如果将用户名、密码等敏感信息保存在Cookie内,在用户离开客户机时不注意清空,这些信息容易泄露,因此Cookie在保存敏感信息方面具有潜在危险。解决Cookie安全的方法有很多,常见的有以下几种:w1:替代cookie。将数据保存在服务器端,可选的是session方案;w2:及时删除cookie。要删除一个已经存在的Cookie,有以下几种方法:给一个给一个Cookie赋以空置;赋以空置;设置设置Cookie的失效时间为当前时间,让该的失效时间为当前时间,让该Cookie在当前页面的浏览完之在当前页面的浏览完之后就被删除了;后就被删除了;通过浏览器删除通过浏览器删
24、除Cookie。如在。如在IE中,可以选择中,可以选择“工具工具”“Internet选项选项”“常规常规”,在里面点击,在里面点击“删删除除Cookies”,就可以删除文件夹中的,就可以删除文件夹中的Cookie。如图所。如图所示:示:w4:禁用Cookie。很多浏览器中都设置了禁用Cookie的方法,如IE中,可以在“工具”“Internet选项”“隐私”中,将隐私级别设置为禁用Cookie,如图所示:3.4 session方法前面几种方法在传递数据时,有一个共同的问题是内容都保存在客户端,因为具有泄露的危险性。如果在不考虑服务器负载的情况下,将数据保存在服务器端,是一个较好的方案,这就是s
25、ession方法。本质上讲,会话(session)的含义是指某个用户在网站上的有始有终的一系列动作的集合。例如,用户在访问网站时,session就是指从用户登入站点到到关闭浏览器所经过的这段过程。session中的数据可以被同一个客户在网站的一次会话过程共享。但是对于不同客户来说,每个人的session是不同的。服务器上的session分配情况如图所示:同样,不同语言对于session的控制不一样,但是原理类似。以JSP为例,本节的例子也可以用session方法来做,首先是sessionP1。运行,效果为:点击链接可以到达sessionP2。点击链接之后,效果为:可见,也可以实现页面之间数据的
26、传递。session方法和前面几个方法相比,是相对安全的。session经常用于保存用户登录状态。比如用户登录成功之后要访问好几个页面,但是每个页面都需要知道是哪个用户在登录,此时就可以将用户的用户名保存在session内。存在的问题session机制最大的不安全因素是sessionId可以被攻击者截获,如果攻击者通过一些手段知道了sessionId,由于sessionId是客户端寻找服务器端session对象的唯一标识,攻击者就有可能根据sesionId来访问服务器端的session对象,得知session中的内容,从而实施攻击。在session机制中,很多人认为:只要浏览器关闭,会话结束,
27、session就消失了。其实不然,浏览器关闭,会话结束,对于客户端来说,已经无法直接再访问原来的那个session,但并不代表session在服务器端会马上消失。除非程序通知服务器删除一个session,否则服务器会一直保留这个session对象,直到session超时失效,被垃圾收集机制收集掉。但是令人遗憾的是,客户在关闭浏览器时,一般不会通知服务器。由于关闭浏览器不会导致session被删除,因此,客户端关闭之后,session还未失效的情况下,就给了攻击者以机会来获取session中的内容。虽然sessionId是随机的长字符串,通常比较难被猜测到,这在某种程度上可以加强其安全性,但是一
28、旦被攻击者获得,就可以进行一些攻击活动,如:攻击者获取客户sessionId,然后攻击者自行伪造一个相同的sessionId,访问服务器,实际上等价于伪装成该用户进行操作。为了防止以上因为sessionId泄露而造成的安全问题,可以采用如下方法:1:在服务器端,可以在客户端登陆系统时,尽量不要使用单一的sessionId对用户登陆进行验证。可以通过一定的手段,不时地变更用户的sessionId;2:在客户端,应该在浏览器关闭时删除服务器端的session,也就是说在关闭时必须通知服务器端。最简单的方法,可以用Javascript实现。4 SQL注入4.1 SQL注入的原理SQL注入在英文中称为
29、SQL Injection,是黑客对Web数据库进行攻击的常用手段之一。在这种攻击方式中,恶意代码被插入到查询字符串中,然后将该字符串传递到数据库服务器进行执行,根据数据库返回的结果,获得某些数据并发起进一步攻击,甚至获取管理员帐号密码、窃取或者篡改系统数据。为了让读者了解SQL注入,首先我们举一个简单的例子。首先,数据库中有一个表格:有一个登录页面,输入用户的账号、密码,查询数据库,进行登录,为了将问题简化,我们仅仅将其SQL打印出来供大家分析。详见代码login.jsp。在文本框内输入查询信息,提交,能够到达loginResult.jsp显示登录结果。运行login.jsp,输入正常数据(
30、如guokehua,guokehua):提交,显示的结果是:熟悉SQL的读者可以看到,该结果没有任何问题,数据库将对该输入进行验证,看能否返回结果,如果有,表示登录成功,否则表示登录失败。但是该程序有漏洞。比如,客户输入账号为:“aa OR 1=1-”,密码随便输入,如“aa”:查询显示的结果为:该程序中,SQL语句为:SELECT*FROM USERS WHERE ACCOUNT=aa OR 1=1-AND PASSWORD=aa 其中,-表示注释,因此,真正运行的SQL语句是:SELECT*FROM USERS WHERE ACCOUNT=aa OR 1=1 此处,“1=1”永真,所以该语
31、句将返回USERS表中的所有记录。网站受到了SQL注入的攻击。另一种方法是使用通配符进行注入。比如,有一个页面,可以对学生的姓名(STUNAME)从STUDENTS表中进行模糊查询:同样,为了将问题简化,我们仅仅将其SQL打印出来供大家分析。代码详见query.jsp。运行,效果如下:在文本框内输入查询信息,提交,能够到达queryResult.jsp显示登录结果。运行query.jsp,输入正常数据(如guokehua),提交,效果为:同样,该结果没有任何问题,数据库将进行模糊查询并且返回结果。如果什么都不输入,提交,效果为:说明该程序不允许无条件的模糊查询。但是该程序也有漏洞。比如,客户输
32、入:“%-”:查询显示的结果为:该程序中,-表示注释,因此,真正运行的SQL语句是:SELECT*FROM STUDENTS WHERE STUNAME LIKE%该语句中,也会将STUDENTS中所有的内容显示出来。相当于程序又允许了无条件的模糊查询。更有甚者,可以在文本框内输入:“%;DELETE FROM STUDENTS-”:查询显示的结果为:这样,就可以删除表STUDENTS中所有的内容。提示:该攻击中,数据库中表名STUDENTS可以通过猜测的方法得到,如果猜测不准确,那就没办法攻击了。4.2 SQL注入攻击的危害wSQL注入攻击的主要危害包括:非法读取、篡改、添加、删除数据库中的
33、数据;非法读取、篡改、添加、删除数据库中的数据;盗取用户的各类敏感信息,获取利益;盗取用户的各类敏感信息,获取利益;通过修改数据库来修改网页上的内容;通过修改数据库来修改网页上的内容;私自添加或删除账号;私自添加或删除账号;注入木马;等等。注入木马;等等。危害性大由于SQL 注入攻击一般利用的是利用的是SQL 语法,这使得于所有基于SQL 语言标准的数据库软件,如SQL Server,Oracle,MySQL,DB2等都有可能受到攻击,并且攻击的发生和Web编程语言本身也无关,如ASP、JSP、PHP,在理论上都无法完全幸免。SQL 注入攻击的危险是比较大的。很多其他的攻击,如DoS等,可能通
34、过防火墙等手段进行阻拦,但是而对于SQL 注入攻击,由于注入访问是通过正常用户端进行的,所以普通防火墙对此不会发出警示,一般只能通过程序来控制,而SQL攻击一般可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权,因此,危害相当严重。w1:认真对表单输入进行校验,从查询变量中滤去尽可能多的可疑字符。可以利用一些手段,测试输入字符串变量的内容,定义一个格式为只接受的格式,只有此种格式下的数据才能被接受,拒绝其他输入的内容。w2:在程序中,组织SQL语句时,应该尽量将用户输入的字符串以参数的形式来进行包装,而不是直接嵌入SQL语言。w3:严格区分数据库访问权限。在权限设计中,对于应用软件的
35、使用者,一定要严格限制权限,没有必要给他们数据库对象的建立、删除等权限。这样,即使在收到SQL注入攻击时,有一些对数据库危害较大的工作,如DROP TABLE语句,也不会被执行,w4:多层架构下的防治策略。在多层环境下,用户输入数据的校验与数据库的查询被分离成多个层次。4.3 防范方法w5:对于数据库敏感的、重要的数据,不要以明文显示,要进行加密。关于加密的方法,读者可以参考后面的章节。w6:对数据库查询中的出错信息进行屏蔽,尽量减少攻击者根据数据库的查询出错信息来猜测数据库特征的可能。w7:由于SQL注入有时伴随着猜测,因此,如果发现一个IP不断进行登录或者短时间内不断进行查询,可以自动拒绝
36、他的登陆;也可以建立攻击者IP地址备案机制,对曾经的攻击者IP进行备案,发现此IP,直接拒绝。w8:可以使用专业的漏洞扫描工具来寻找可能被攻击的漏洞。1、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Tuesday,April 25,20232、阅读一切好书如同和过去最杰出的人谈话。11:12:2111:12:2111:124/25/2023 11:12:21 AM3、越是没有本领的就越加自命不凡。4月-2311:12:2111:12Apr-2325-Apr-234、越是无能的人,越喜欢挑剔别人的错儿。11:12:2111:12:2111:12Tuesday,April 25,20
37、235、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2311:12:2111:12:21April 25,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。25四月202311:12:21上午11:12:214月-237、最具挑战性的挑战莫过于提升自我。四月2311:12上午4月-2311:12April 25,20238、业余生活要有意义,不要越轨。2023/4/2511:12:2111:12:2125 April 20239、一个人即使已登上顶峰,也仍要自强不息。11:12:21上午11:12上午11:12:214月-2310、你要做多大的事情,就该承受多大的压力。4/25/2023 11:12:21 AM11:12:2125-4月-2311、自己要先看得起自己,别人才会看得起你。4/25/2023 11:12 AM4/25/2023 11:12 AM4月-234月-2312、这一秒不放弃,下一秒就会有希望。25-Apr-2325 April 20234月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Tuesday,April 25,202325-Apr-234月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。4月-2311:12:2125 April 202311:12谢谢大家谢谢大家
限制150内