<![CDATA[Latest posts for the topic "Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google"]]> /hvaonline/posts/list/33.html JForum - http://www.jforum.net Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml [+] Demo lỗi XSS của Keeper vào ngày 13/11 http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml Trang giả mạo được đặt trong một sandbox domain là gmodules.com nhưng domain chính vẫn là google.com cũng đủ khiến người dùng dễ bị mắc lừa. Nguy cơ dính XSS trong các sandbox domain đã được Google xem xét và lỗi này không được tính để trao giải thường cho các hacker tìm ra. [2] manthang - HVA News (Theo TheHackerNews) Tham khảo: [1] http://thehackernews.com/2012/11/exploiting-google-persistent-xss.html [2] http://www.google.com/about/appsecurity/reward-program/]]> /hvaonline/posts/list/43797.html#270994 /hvaonline/posts/list/43797.html#270994 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml Phần phía dưới có ghi rõ thế này:
Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.  
Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. -m PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín.]]>
/hvaonline/posts/list/43797.html#271002 /hvaonline/posts/list/43797.html#271002 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271006 /hvaonline/posts/list/43797.html#271006 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này: http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml Phần phía dưới có ghi rõ thế này:
Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.  
Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. -m PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 
Tôi có phần không đồng tình với lão mrro ở các phát biểu trên. Dù rằng đây là một tính năng được lợi dụng chứ không phải một lỗi XSS hoàn chỉnh, nhưng nó đem lại hệ quả tương đương, một script đã có thể được thực thi trong trình duyệt của người dùng với URL vẫn thuộc Google.com , việc nội dung trang
http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml  
có thể bị thay đổi để làm người dùng ( End-user ) lầm lẫn dẫn tới xảy ra kiểu tấn công Phishing là điều hoàn toàn có thể. Mặt khác, điều khiến user trên thế giới ( THN là trang tin có lượt truy cập tới từ toàn cầu ) khi đọc tin này là việc Google được thông báo trước đến 2 tháng và hoàn toàn không sửa lỗi này cho đến khi bài báo trên được phổ rộng. còn về quan điểm
Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. 
Có phần giống các báo VN hay kêu gọi "Hãy là người tiêu dùng thông minh", trong khi rất tiếc là Google đáng nhẽ với trách nhiệm của mình khi được thông báo, nên là "nhà cung cấp dịch vụ thông minh" tránh cho người dùng buộc phải thông minh, khi người dùng đã và đang gián tiếp ( cũng như trực tiếp ) chi trả cho hoạt động của Google vấn đề cuối là với phát biểu này
PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 
Tôi hy vọng là tôi không hiểu sai ý của lão, nếu có thì thành thật cho tôi xin lỗi và rút lại các điều tôi nói sau đây. Lỗi này dù gì đi nữa vẫn có thể gây hại tới người dùng do đó việc đưa tin về nó là cần thiết. Mặc cho lỗi này có mức độ gây hại tới đâu, một khi nó có sự gây hại hoặc khả năng gây hại tới người dùng, thì để người dùng trở thành một "người tiêu dùng thông minh" họ cần được thông báo để gia tăng sự cẩn trọng Trân trọng, Ghi chú: Hiện google đã sửa điểm yếu này ngày hôm nay Demo tại link http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml và link http://www.google.com/ig/directory?dpos=top&root=/ig&url=news.thehackernews.com/thn.xml Hôm qua vẫn hoạt động, hôm nay đã được sửa]]>
/hvaonline/posts/list/43797.html#271007 /hvaonline/posts/list/43797.html#271007 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271038 /hvaonline/posts/list/43797.html#271038 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

xnohat wrote:
Dù rằng đây là một tính năng được lợi dụng chứ không phải một lỗi XSS hoàn chỉnh, nhưng nó đem lại hệ quả tương đương, một script đã có thể được thực thi trong trình duyệt của người dùng với URL vẫn thuộc Google.com, việc nội dung trang có thể bị thay đổi để làm người dùng ( End-user ) lầm lẫn dẫn tới xảy ra kiểu tấn công Phishing là điều hoàn toàn có thể. Mặt khác, điều khiến user trên thế giới ( THN là trang tin có lượt truy cập tới từ toàn cầu ) khi đọc tin này là việc Google được thông báo trước đến 2 tháng và hoàn toàn không sửa lỗi này cho đến khi bài báo trên được phổ rộng.  
Chữ "hệ quả tương đương" cần phải xem lại. Đây không phải là một lỗi XSS. Nó không phải là một lỗ hổng bảo mật gì cả. Đây là một dạng lợi dụng dịch vụ iGoogle để đánh lừa người khác. Trang đó không bị thay đổi, mà nó được thiết kế để cho phép người dùng hiển thị gadget. Nói cách khác, nó là dạng "working as intended", là feature chứ không phải là bug. Google không sửa vì đây không phải là lỗi bảo mật. Không phải là sau khi anh này báo lỗi thì Google đã sửa, mà họ chỉ xoá cái gadget đó đi mà thôi, vì nó vi phạm điều khoản sử dụng dịch vụ. Đọc thêm cái này: http://techcrunch.com/2012/11/14/the-difference-between-a-vulnerability-and-a-moron-using-google-services-trying-to-phish-your-password/

xnohat wrote:
Có phần giống các báo VN hay kêu gọi "Hãy là người tiêu dùng thông minh", trong khi rất tiếc là Google đáng nhẽ với trách nhiệm của mình khi được thông báo, nên là "nhà cung cấp dịch vụ thông minh" tránh cho người dùng buộc phải thông minh, khi người dùng đã và đang gián tiếp ( cũng như trực tiếp ) chi trả cho hoạt động của Google  
Không hiểu anh đang muốn nói gì. Google là một trong những hãng quan tâm nhất đến sự an toàn của người dùng. Đã có nhiều ví dụ về chuyện này, như tốc độ sửa lỗi của Chrome. Những ai từng gửi lỗi đến Google cũng biết cách họ xử lý thế nào cho những vấn đề thật sự là lỗi. Điều mà tôi nói ở trên cũng không có liên quan gì đến việc người dùng có phải thông minh hay không. Google không bỏ đi tính năng này vì họ thấy rằng lý do "trang này được đặt ở www.google.com nên xác suất thành công của nó trong việc phishing sẽ cao hơn" không thuyết phục. Chưa có bằng chứng nào ủng hộ cho cái kết luận đó cả. Anh có bằng chứng nào không? Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả.

xnohat wrote:
Tôi hy vọng là tôi không hiểu sai ý của lão, nếu có thì thành thật cho tôi xin lỗi và rút lại các điều tôi nói sau đây. Lỗi này dù gì đi nữa vẫn có thể gây hại tới người dùng do đó việc đưa tin về nó là cần thiết. Mặc cho lỗi này có mức độ gây hại tới đâu, một khi nó có sự gây hại hoặc khả năng gây hại tới người dùng, thì để người dùng trở thành một "người tiêu dùng thông minh" họ cần được thông báo để gia tăng sự cẩn trọng  
Tôi không phản đối việc đưa tin về những lỗ hổng như thế này. Ý tôi là những ai thích săn lỗ hổng thì đừng bỏ thời gian đi tìm và báo những vấn đề kiểu như thế này. ]]>
/hvaonline/posts/list/43797.html#271041 /hvaonline/posts/list/43797.html#271041 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google PS: blogspot nó cho owner post javascript thoải mái trong bài viết mà, nhưng mà trong comment thì ko guest post à nha smilie, đố biết tại sao =]]  Vì nó không muốn Guest lừa Owner =]]
Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả.  
Không biết số liệu đó mrro lấy ở đâu ra nhưng mà mấy trò này mình dùng lừa bạn mình được đấy. Cho nên hình như mrro không tính số người bị lừa mà không thông báo à, hay là cả số người không biết thông báo, hoặc thêm cả số người không biết mình bị lừa ? Mà thực tế là hầu hết số người bị lừa thì sẽ không thông báo. Một khi đã bị lừa thì làm gì biết mình bị mà thông báo, nếu họ biết để thông báo thì họ đã không bị lừa. Mà nếu như vậy thì câu trên của mrro có lẽ nên đổi thành
Vì nhiều người thông báo cho nên không ai bị lừa, do đó iGooge an toàn 
nghe có vẻ hợp lý hơn. Mà nếu nói như vậy thì Mohit Kumar cũng là một trong những người phủ định lại cái bug của hắn ta. :-p]]>
/hvaonline/posts/list/43797.html#271277 /hvaonline/posts/list/43797.html#271277 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271299 /hvaonline/posts/list/43797.html#271299 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google - Câu bồ nói mâu thuẫn quá, mình cũng không biết cái thực tế đó bồ lấy số liệu từ đâu ra ? từ quan điểm của riêng bồ chăng ?? Cho mình ví dụ cụ thể lừa cái gì mà không biết mình bị lừa đi, nhớ là có liên quan đến lĩnh vực đang bàn nha. Ít nhất cũng phải phân biệt rõ lừa là lừa cái gì, cụ thể 1 tí chứ đừng có quơ đũa cả nắm .   Tui đang vặn hỏi cái số liệu của mrro chứ tui làm gì có số liệu nào, có làm cho google đâu mà đòi số với má, chưa nói là google đâu dại gì mà public nhữnh thiệt hại gây ra bởi bug của họ. Nghe mrro nói một câu chắc nịch "Sự thật là cho đến nay chưa ai bị phished trên iGoogle cả." nên choáng, mới lại là mrro có tính số người bị lừa mà không thông báo hay là số người cho đến giờ vẫn chưa biết mình bị lừa không =]]
- Mình hỏi bồ thằng nào đọc kĩ và biết rõ nếu làm theo cách mà mình sẽ bị lừa nó vẫn làm ? 
Câu này lộm thộm quá, không biết trả lời thế nào, :|]]>
/hvaonline/posts/list/43797.html#271302 /hvaonline/posts/list/43797.html#271302 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271303 /hvaonline/posts/list/43797.html#271303 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

chube wrote:
- Uầy, mình cũng chỉ nói với bồ là bồ cứ đọc kĩ đi thì hiểu cái số liệu đó từ đâu ra. Nói cho dễ hiểu là vầy. Nếu bồ không đọc kĩ thì khi bồ bị lừa, bồ tự biết mình dại thì chả việc gì phải thông báo. Còn khi mà đọc kĩ mà bị lừa thì phải xét 1 số trường hợp, mình nói thí dụ: Tui cố tình bị lừa để tạo số liệu ảo , số liệu dỏm thì sao ? Còn nhiều trường hợp lắm nên mình muốn xin bồ 1 cái ví dụ cụ thể thôi. Mình dùng dịch vụ người ta, người ta có ghi rõ những gì cần lưu ý khi sử dụng, mình đọc kĩ thì tui hỏi bồ vấn đề đơn giản chưa? 
Tui không hỏi nó từ đâu ra, mà tui hỏi nó căn cứ trên cái gì mà thôi. Còn từ đâu ra thì không quan trọng trong trường hợp này, có thể là từ mrro, từ google, từ ... abcxyz, chưa biết cái số liệu nào đúng, số nào sai (vì thằng owner của những số liệu đó là google, mà khi google không lên tiếng confirm thì làm gì có ai biết là đúng hay sai, chưa nói google đôi khi cũng confirm sai). Và một khi cái nguồn gốc không thuyết phục thì chỉ còn cách là dựa vào trong những căn cứ mà số liệu đó dựa vào. Trong trường hợp của topic này, thực ra cả tui, bồ, mrro hay manthang, ... cũng chỉ như thầy bói xem voi mà thôi. Bởi vì suy cho cùng cũng chẳng ai có thể chứng minh được số liệu của mình thuyết phục, trong khi đó riêng bản thân tui thì không có số liệu, tui tham gia trên tinh thần là phản biện lại số liệu của các bạn bằng cách đưa ra nhiều trường hợp gây nhiễu, để xem căn cứ của bạn nào vẫn còn dùng được và thuyết phục thì coi như có thể tin tưởng vào số liệu đó, ít ra là vậy.
Còn khi mà đọc kĩ mà bị lừa thì phải xét 1 số trường hợp, mình nói thí dụ: Tui cố tình bị lừa để tạo số liệu ảo , số liệu dỏm thì sao ? 
Đúng vậy, vì có cả những trường hợp như bồ nói và cả tui nói bên trên (bị lừa mà không thông báo) thì cái số liệu của mrro càng ít trụ vững được. PS : Theo các bồ thì information security sinh ra để làm gì ? để bảo vệ những người có hiểu biết hay là những người không hiểu biết ?]]>
/hvaonline/posts/list/43797.html#271304 /hvaonline/posts/list/43797.html#271304 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271305 /hvaonline/posts/list/43797.html#271305 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

chube wrote:
- Mình nói thiệt nha, bạn kêu là "không hỏi nó từ đâu ra" vậy bạn đọc lại #7 của bạn đi nha, nguyên văn nó là vầy nè "lấy ở đâu ra "
Thảo luận với mấy đứa não ngắn như bồ tui mệt thiệt. Nói thế mà không hiểu nữa thì chịu, :-|]]> /hvaonline/posts/list/43797.html#271306 /hvaonline/posts/list/43797.html#271306 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271318 /hvaonline/posts/list/43797.html#271318 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

chube wrote:
@C0de : Muốn biết não ngắn hay não dài thì cứ ra ngoài gặp nhau anh em cafe thảo luận ok ? Bồ ở tphcm nếu tiện thì cho cái phone ra gặp nhau dễ thảo luận hơn. Thằng này thích nói được làm được, nhắm mà đo được não ngắn hay dài thì cứ ra đây mình cho gặp trực tiếp mà đo. Vậy nha 
Khi đi nhớ cầm theo cái điếu cày.]]>
/hvaonline/posts/list/43797.html#271323 /hvaonline/posts/list/43797.html#271323 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

chube wrote:
@C0de : Muốn biết não ngắn hay não dài thì cứ ra ngoài gặp nhau anh em cafe thảo luận ok ? Bồ ở tphcm nếu tiện thì cho cái phone ra gặp nhau dễ thảo luận hơn. Thằng này thích nói được làm được, nhắm mà đo được não ngắn hay dài thì cứ ra đây mình cho gặp trực tiếp mà đo. Vậy nha 
Ôi thôi, não ngắn + trẻ trâu. Mà còn lại rảnh nữa, bồ cứ tỏ ra nguy hiểm thế làm gì ? ;-) Thôi không thảo luận trong topic này nữa, lại khẻo đụng chạm đến thần tượng nào đó của ai đó thì cứ nhảy dựng lên như kiến cắn đ!t' thì nguy hiểm lắm ;-) ]]>
/hvaonline/posts/list/43797.html#271338 /hvaonline/posts/list/43797.html#271338 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271348 /hvaonline/posts/list/43797.html#271348 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271350 /hvaonline/posts/list/43797.html#271350 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271354 /hvaonline/posts/list/43797.html#271354 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này: http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml Phần phía dưới có ghi rõ thế này:
Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.  
Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. -m PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 
Bồ phải hiểu đại đa số dân Việt Nam đều không giỏi tiếng anh.Có phải ai cũng có khả năng và kiến thức IT như bồ.Bồ k nghĩ đến việc report này giúp những bạn bập bẹ máy tính tránh bị xâm nhập không? Nếu một vị vua cai trị theo kiểu ai khôn thì sống ngu thì chết liệu đất nước đấy sẽ ra sao ? Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào !]]>
/hvaonline/posts/list/43797.html#271358 /hvaonline/posts/list/43797.html#271358 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google /hvaonline/posts/list/43797.html#271364 /hvaonline/posts/list/43797.html#271364 GMT Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

chube wrote:
Thanh niên thời nay ai cũng như bạn CutiVNPT thì mình cũng bó tay, hiểu được nhược điểm của mình không lo giành thời gian mà tập luyện cho tốt còn ở đó mà lôi kéo đồng bào với lí do nguỵ biện và tào lao " Không giỏi tiếng anh". Bạn nghĩ ngồi trên mạng gõ gõ vài cái là khắc phục vấn đề, không ấy đi chung với bạn C0de kiết gì đó lên Công viên Le Van Tám ở gần bình thạnh nè, mình giao lưu là hiểu nhau liền à 
Chúc mừng bạn.Bạn thuộc vào nhóm thiểu số ở Việt Nam nhìn đời qua cái màn hình máy tính.]]>
/hvaonline/posts/list/43797.html#271365 /hvaonline/posts/list/43797.html#271365 GMT
Cảnh báo lỗ hổng Persistent XSS vẫn còn 'dính' trên site của Google

CutiVNPT wrote:

mrro wrote:
Đây không phải là lỗi bảo mật gì cả, chẳng qua là một tính năng bị lợi dụng để có thể lừa gạt người dùng. Bây giờ nhìn vào cái trang này: http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Google_Login.xml Phần phía dưới có ghi rõ thế này:
Most of the content in this directory was developed by Google users. Google makes no representations about its performance, quality, or content. Google doesn't charge for inclusion in this directory or accept payment for better placement.  
Đương nhiên nếu ai không nhìn kỹ thì vẫn có thể bị lừa, nhưng mà nếu họ đã không nhìn kỹ rồi thì ở đâu họ cũng sẽ bị lừa cả thôi. -m PS: đừng bao giờ tìm và gửi những lỗ hổng như thế này, nếu không muốn bị hạ uy tín. 
Bồ phải hiểu đại đa số dân Việt Nam đều không giỏi tiếng anh.Có phải ai cũng có khả năng và kiến thức IT như bồ.Bồ k nghĩ đến việc report này giúp những bạn bập bẹ máy tính tránh bị xâm nhập không? Nếu một vị vua cai trị theo kiểu ai khôn thì sống ngu thì chết liệu đất nước đấy sẽ ra sao ? Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào ! 
Mấy hôm nay mình theo dõi bài viết này, theo cách nghĩ của mình thì vấn đề như sau : - Cách nói chuyện của bồ C0denam3 khiến người khác không phục, cách bồ trình bày ý kiến mình theo kiểu là chỉ có mình đúng, và không chấp nhận ý kiến người khác. Thứ hai là cách bồ nói chuyện không tôn trọng người khác, tại sao khi bồ chú bé nói chuyện rất lịch sử, bồ lại nhận xét người khác là não ngắn và trẻ trâu, bồ so sánh dựa trên thang đo nào vậy. Muốn người khác tôn trọng bồ thì trước hết bồ phải tôn trọng người khác đã - Còn nhận xét của CutiVNPT "Nếu bồ giỏi bồ hãy tạo con đường an toàn cho người ta đi thay vì chỉ cách cho người ta đi như thế nào !" thì bồ Cuti đọc qua câu chuyện này xem : http://unprotocols.org/blog:16? Có phải lúc nào tạo ra con đường an toàn cũng đúng không ? Mà đòi hỏi phải kết hợp cả từ hai phía con đường và cả cách đi. Những người có ý định xấu thì nhiều vô số, và cách lừa lọc ngày càng đa dạng hơn, nếu chính bạn không phải là người cẩn thận trước thì có sử dụng biện pháp tạo "con đường an toàn" như thế nào đi chăng nữa thì cũng không đạt hiệu quả. Thân. ]]>
/hvaonline/posts/list/43797.html#271368 /hvaonline/posts/list/43797.html#271368 GMT