《对某网站的一次渗透测试.docx》由会员分享,可在线阅读,更多相关《对某网站的一次渗透测试.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、毕业论文 对某网站的一次渗透测试A Penetration Test for a Specific Website 学科专业 研究方向 作者姓名 指导教师 2018年5月中图分类号 学校代码 UDC 学位类别专业学位毕业论文对某网站的一次渗透测试A Penetration Test for a Specific Website作者姓名:学科专业:研究方向:学院(系、所):指导教师:论文答辩日期 答辩委员会主席 2018年 5月VI对某网站的一次渗透测试摘要:随着在线世界已经融入到我们的生活中,Web攻击对于全球经济的威胁也变得越来越明显和越来越大。在我们的日常工作中,应该更加重视网站对于渗透攻
2、击的抵抗能力,让机密数据更加安全稳妥地保存。本文首先介绍了Web应用渗透技术基础,包括SQL注入攻击,跨站脚本,跨站伪造请求,OWASP Web漏洞,Web应用攻击典型案例,渗透测试工具简介等。然后具体介绍了SQL注入实例分析,XSS跨站脚本攻击实例分析,跨站点请求伪造,命令注入实例分析等。通过完整的网站渗透测试运行,阐述测试的过程,意义,结果,防范等内容,对信息安全有着重要意义。最后给出总结,遵守一些简单的原则就可以化解这种风险,包括及时打好补丁并采用最安全的配置,对所有的用户输入和输出进行检查,定期对自行开发的Web应用程序进行审计。关键词:渗透测试;SQL注入;XSS;Web网站分类号:
3、A Penetration Test for a Specific WebsiteAbstract: As the online world has become integrated into our lives, the threat of Web attacks to the global economy has become more and more evident. In our daily work, we should pay more attention to the sites resistance to infiltration attacks, so that conf
4、idential data can be saved more safely and steadily. This article first introduced the basics of web application infiltration technology, including SQL injection attacks, cross-site scripting, cross-site forgery requests, OWASP Web vulnerabilities, typical cases of Web application attacks, introduct
5、ion to penetration testing tools, and so on. Then it introduces SQL injection instance analysis, XSS cross-site scripting attack instance analysis, cross-site request forgery, and command injection instance analysis. Through the complete website penetration test operation, the process of the test, s
6、ignificance, results, prevention and other content are described, which is of great significance to information security. Finally, a summary is given, and some simple principles can be followed to resolve this risk, including promptly patching and adopting the most secure configuration, checking all
7、 user input and output, and regularly auditing self-developed Web applications.Keywords: Penetration Test;SQL injection;XSS;Web sitesClassification: 目录1 绪论11.1课题背景及意义11.2 国内外研究现状及发展趋势11.3 本文主要内容及结构22 Web网络渗透测试32.1渗透测试概述32.2 Web网站渗透测试介绍42.3 OWASP Web常见漏洞52.4 本章小结53 常用渗透测试方案及防范策略73.1 渗透测试工具介绍73.2 Web网
8、络漏洞扫描73.3 防范策略概述83.4 本章小结84 完整实例分析94.1 针对网站的SQL注入实例94.2 XSS跨站脚本攻击实例104.3 跨站点请求伪造124.4 本章小结125 结语13参考文献14致谢15工程硕士学位论文 1 绪论1 绪论1.1 课题背景及意义随着计算机网络技术的发展和信息化建设的深入,网络技术发展迅速。目前,基于Web技术的各类Web应用系统越来越多地涉及电子商务,电子银行,电子政务和社交网络等领域。尽管Web应用系统为人们提供日常生活,工作和学习方面的便利,但人们越来越依赖于网络和Web系统。随着Web应用程序的日益普及和重要性,其自身的安全风险也在不断增加。W
9、eb应用程序的安全性越来越受到重视。目前开发和构建的许多Web应用程序都存在安全漏洞,这些安全漏洞对Web系统和个人隐私等敏感数据构成更大的安全威胁。在Web应用程序安全漏洞中,SQL注入漏洞是最严重的安全风险之一。开放Web应用安全项目组织已经发布了关于Web应用的十个关键风险报告的报告。在OWASP近年的一份报告中,SQL注入攻击目前正用于Web应用程序攻击。这个比例是最大的,它基于这个结论被排序的漏洞风险,这意味着SQL注入攻击对当前的Web应用系统来说更严重。SQL注入攻击者可以使用SQL注入漏洞获取网站管理员权限,窃取敏感数据或上传木马,并遭受注入攻击。 Web应用程序攻击者在某种程
10、度上可能无法正确使用Web应用程序,或者在某些不利影响下使用它们。机密资源或数据的更严重泄漏可能直接或间接导致经济损失和其他损失。这都会影响Web应用程序系统的正常使用。综上所述,针对SQL注入的广泛性,危害性的多重性以及攻击的多样性,对SQL注入攻击原理和注入检测与防御方法进行了研究,以保护数据的安全性并保持良好的网络服务以及其他方面具有重要的现实意义。1.2 国内外研究现状及发展趋势随着近年来互联网的进步,网络安全问题也被推到了风口浪尖。不断出现新的安全问题,比如五角大楼和国防部泄露的信息,英国情报数据的泄露,一些领导人安全账号的盗用,Adobe等大公司数据库信息的泄漏等等。各个行业的世界
11、五百强企业的网络安全都出现了大大小小的问题。 在受到攻击的企业和单位中,涉及国家机关,涉密单位,科研机构和涉及国家秘密和金融安全的金融机构。对于这类机构黑客攻击的技术含量和攻击频率远高于一般企业。即使是附属单位在一个月内也遭到来自不同组织近千次袭击的袭击。 个人计算机,移动电话和USB闪存驱动器等与个人机密相关的个人物品也经常成为黑客的突破口。例如,一些承担军事研究任务的大学和大学经常受到研究人员个人电脑的攻击。攻击者试图攻击U盘,移动硬盘和手机作为跳板攻击分类网络。这些行为将对机密信息的泄漏产生严重后果。 今天,大多数攻击都带有最基本的漏洞扫描。如果攻击成功,目标处于危险之中。如果攻击者试图
12、扫描站点以查找漏洞,他将收到大量防火墙日志消息,并且监控网络的任何入侵检测系统(IDS)都将开始发送有关当前攻击的警报。如果您尚未尝试过,则可能需要使用漏洞扫描程序和IDS对网络进行试验。这里一般不能忘记首先获得他人的许可,因为运行漏洞扫描器会导致IDS发出警报。渗透测试可能是网络防御工具箱中的重要武器之一。它应该被视为各种安全审查的一部分,但必须确保审查人员能胜任这项任务。1.3 本文主要内容及结构本课题介绍了Web应用渗透技术基础,包括SQL注入攻击,跨站脚本,跨站伪造请求,OWASP Web漏洞,Web应用攻击典型案例,渗透测试工具简介等。然后具体介绍了SQL注入实例分析,XSS跨站脚本
13、攻击实例分析,跨站点请求伪造,命令注入实例分析等。通过完整的网站渗透测试运行,阐述测试的过程,意义,结果,防范等内容,对信息安全有着重要意义。最后给出总结,遵守一些简单的原则就可以化解这种风险,包括及时打好补丁并采用最安全的配置,对所有的用户输入和输出进行检查,定期对自行开发的Web应用程序进行审计。14工程硕士学位论文 2 电力通信网络体系与系统关键技术2 Web网络渗透测试2.1渗透测试概述对于渗透测试没有标准的定义。国内一些安全组织普遍认为渗透测试是一种评估方法,通过模拟恶意攻击者来评估计算机网络系统的安全性。此过程包括主动分析系统中的任何弱点,技术缺陷或漏洞。分析人员执行攻击者的可能位
14、置并有条件地利用此位置的安全漏洞。渗透测试的两个突出特点是:渗透测试是一个渐进和渐进的过程。渗透测试是一种选择不影响业务系统正常运行的攻击方法的测试。 简而言之,渗透测试是安全评估的一种途径。渗透测试领域有许多原理性操作。漏洞评估涉及识别和分类已知漏洞,列出需要优先关注的漏洞列表,并提出修复漏洞的方法。渗透测试模拟攻击者的行为。结果应该包括测试人员如何破坏安全以实现预期目标的报告,例如攻击管理系统。市场上有很多渗透测试工具,测试人员应该使用多种解决方案。大多数有经验的测试人员也使用超出常规测试的定制工具。当然,正确的测试也需要技巧。许多组织都使用自动和手动安全测试,但很明显,自动化测试是扫描,
15、而不是真正的渗透测试。两者都有价值,但人们已经找到了一种打破系统的方法,至少目前是这样。经验,创造力和好奇心是渗透测试的核心,通常在自动化结束时进行测试。渗透测试包括社会工程。因此,充分评估测试技术是非常重要的。在某些情况下,分析师有可能被授权做更多的事情,比如扫描社交媒体获取可用信息,或试图通过网络钓鱼电子邮件获取用户敏感数据。渗透测试可以在理解或不理解目标系统的情况下进行。事实上,了解业务系统的测试人员可以提供更多的洞察力,因为工作人员知道要寻找什么。渗透测试可以由员工,承包商或其他外部第三方进行。理想情况下,外部测试人员应定期检查内部测试人员的工作。根据潜在风险或业务连续性损失,系统或产
16、品生命周期中经常会建立不同级别的安全测试。不要害怕寻求外部帮助,因为在网络犯罪分子使用漏洞之前发现漏洞总比收拾混乱要好。渗透测试可以是主动或被动的。理想情况下,测试有助于防止攻击。然而,攻击后的法医分析中的渗透测试可以帮助安全团队了解发生的所有事情,并且信息可以帮助组织防止将来发生类似的攻击。2.2 Web网站渗透测试介绍 目前企业界普遍建立自己网络管理系统来提高整体运作效率,如图是基本网络构成框图:图2.1 常用网络构成框图 渗透测试可以通过识别安全问题来帮助单位了解当前的安全状况。这促使许多组织制定运营计划以减少攻击或滥用的威胁。精心编写的渗透测试结果可帮助管理人员建立可靠的业务案例,以展
17、示增加的安全预算或将安全问题传达给高级管理层。安全性不是一个一次性的解决方案。它是一个需要严格评估的过程。安全措施需要定期检查以发现新的威胁。渗透测试和公正的安全分析可以使许多组织专注于他们最需要的内部安全资源。此外,独立安全审计正迅速成为获取网络安全保险的要求。现在符合法规和法律要求是执行业务的必要条件,渗透测试工具可以帮助许多组织满足这些法规要求。启动企业电子商务项目的核心目标之一是实现与战略合作伙伴,供应商,客户和其他电子相关人员的密切合作。为了实现这一目标,许多组织有时允许合作伙伴,提供商,B2B交易中心,客户和其他利益相关者使用可信连接访问他们的网络。良好的渗透测试和安全审计可以帮助
18、许多组织找到这个复杂结构中最脆弱的环节,并确保所有连接的实体都具有标准的安全基准。当安全实践和基础设施到位时,渗透测试将对业务手段之间的反馈进行重要验证,同时提供安全框架,并以最小的风险成功实施。2.3 OWASP Web常见漏洞 SQL注入攻击:Web应用程序中存在的用于处理后台数据库查询语句的安全漏洞。简而言之,就是将SQL指令嵌入到输入字符串中。在设计程序中,忽略特殊字符串的检查,嵌入式指令将被误认为是正常的SQL指令。 跨站脚本:一些具有不良企图的用户将一些有特殊用途的程序注入网页。其他用户在浏览网页时会在所难免地受到不同程度的影响。 跨站伪造请求: 属于XSS衍生产品。攻击者使用XS
19、S注入方法来注入脚本。当受害者使用本地电脑的浏览器跑通脚本时,脚本会伪造受害者并发送合法请求。会话认证管理缺陷:在第一次发送cookie之后,cookie中的内容未被检查。然后,攻击者可以修改cookie中的重要信息以使用它来增加权限,或使用其他帐户来获取个人的重要数据。 安全误配置:这样在所有级别的架构中都可以见到,例如Web平台,Web服务器,应用程序服务器和具体的执行程序。 缺乏传输层保护:传输层没有保护机制,例如SSL / TLS技术。过期或不正确的证书。背景数据库通信行业存在类似的问题。2.4 本章小结本章节主要介绍了渗透测试的相关知识。首先说明了基本原理,以及在具体的操作执行过程中
20、应该注意的事项。其次具体阐述了针对Web应用网站而进行的测试,为说明该类测试的重要性。最后介绍了OWASP列出的最常见的几个危险漏洞。工程硕士学位论文 5 系统实现及测试3 常用渗透测试方案及防范策略3.1 渗透测试工具介绍 这里主要针对两个重要工具进行介绍: (1) Metasploit框架 Metasploit框架中集成了数千种针对主流操作系统平台上,不同网络服务和应用软件安全漏洞的渗透攻击模块。使用者能够根据渗透攻击情况下的漏洞扫描分析进行选择。同时,他们能够自由组合适用于平台的各个应用。在很多时候,可以指定该函数的攻击负载,对目标系统进行远程攻击并获取系统的访问控制权限。这个框架提供了
21、一个编辑发挥exploit程序的优良环境。它为基于Web应用的渗透测试,shell的编辑和漏洞机制探究提供了一个稳定的平台。另外一个特点让它具有很好的可扩展性:它主要是由面向对象的Ruby语言编写而成的,同时具备有C语言,更底层的汇编语言以及应用广泛的python的可选模块。(2) Kali Linux它有以下特性:基于Debian的Linux发行版本。前身是BackTrack,2013年3月发布。用于渗透测试和安全审计。包含600+安全工具。FHS标准目录结构。具有定制内核。支持ARM和手机平台。开源并且免费。具体适合渗透测试的策略有:root用户策略(大部分工具需要ROOT所以没必要像别的
22、linux系统一样建一个普通用户)。网络服务策略(默认情况下,网络服务是不启动的,除非自己手动执行)。更新升级策略。3.2 Web网络漏洞扫描 主要针对以下2个进行介绍: (1) OpenVAS OpenVAS是一个具有开放式的漏洞评测平台。它的主要构成是服务器。该服务器具体包括:一套针对Web的漏洞测试代码,能够检测远程系统和具体应用中的安全隐患。OpenVAS与以往的扫描工具不一样。所有的OpenVAS软件直接基于Nessus较早版本的许多优良插件。Nessus本身功能强大,然后代码不开源,而且具体公众免费版本又受到了很多限制。具体从特性而言,OpenVAS主要用来检测目标网络或主机的安全
23、性。它是基于C/S(客户端/服务器),B/S(浏览器/服务器)工作的。这些架构有利于此工具更广泛的运行。使用者通过浏览器或者专用客户端软件来下达扫描任务。同时服务器端负载授权,执行扫描操作并提供检测结果。 (2) W3af W3af是一个Web应用程序安全攻击和检测平台。 它通过添加插件来扩展功能。 这是一个用python编写的工具,支持良好的用户使用界面并且还支持命令行模式。 W3af已经整合了大量的安全审计和攻击插件,并已被分类。在具体使用时,可以直接选择已经分类的插件。具体而言,只需填写URL地址即可在目标站点上执行安全检测即可,是一个非常好用的工具。同时,它集成了一些有用的小工具,比如
24、自定义请求函数,模糊请求函数,代理函数,加密和解密函数等,并且支持很多通用的加密和解密算法,。们可以使用W3af高效安全地检测Web网站。3.3 防范策略概述以下为整理后的常用的防范原则:使用绑定变量(参数化查询):只是用绑定变量来传递不同的参数到语句中。对来自客户端的所有输入都要执行严格的输入验证:编程箴言“限制、拒绝和净化”。实施默认的错误处理:为所有错误使用一个通用的错误消息。锁定ODBC:禁止给客户端发送消息。锁定数据库服务器配置:指定用户、角色和权限。使用纲领性框架:诸如Hibernate或LINQ之类的工具建议去使用绑定变量。3.4 本章小结 本章节主要介绍了常用的渗透测试的具体方
25、案以及防范策略。首先针对常用测试工具进行了概述,说明日常工作中这些工具的使用状况。其次介绍了针对Web网站的漏洞扫描,该内容在信息安全占有举足轻重的地位。最后对防范策略进行了介绍。4 完整实例分析4.1 针对网站的SQL注入实例 “SQL注入”指的是向某个Web应用程序输入一个精心构造的SQL查询命令以执行某种非正常操作。SQL查询命令的语义很容易改变,只要在关键位置增加或者减少一个字符,就足以让原本无害的查询命令产生相当有害的行为。在这个攻击活动中,用来构造恶意输入内容的常见字符包括反引号()、双连字符(-)和分号(;)等,它们在SQL语言里都有着特殊含义。 对于入门级黑客,这种攻击往往能让
26、他们在未经授权的情况下访问到某些敏感的数据;而精通此道的高级黑客甚至能在绕过身份验证机制之后完全掌握Web服务器或后端SQL系统的控制权。以下为具体机制的介绍:图4.1 验证机制 访问网站 Username字段注入:admin OR 1,Password字段注入:test OR 1,后台验证SQL变为:SELECT * FROM users WHERE username= admin OR 1 AND password= test OR 1。使用OWASP BWA靶机的DVWA应用程序演示如何获取后台数据库更多的信息。输入文件“XSS&SQLi.txt”中的脚本。假设后台的查询语句是这样设置的
27、:Select 列 from 表 where ID= ?。因此如果输入 or 1=1 ,数据表的每一列都将显示出来。查询INFORMATION_SCHEMA系统表: UNION SELECT 1, table_name from INFORMATION_SCHEMA.tables - ,发现users表。 列出user表的内容: UNION SELECT 1, column_name from INFORMATION_ SCHEMA.columns where table_name = users - ,发现password列。取得口令的MD5值: UNION SELECT NULL, pas
28、sword from users - 。使用concat()函数将所有的信息都列出来: UNION SELECT password, concat(first_name, , last_name, ,user) from users - 。使用sqlmap获取口令明文。MD5 Hash值也可以在线查询:例如上面通过SQL注入攻击拿到了admin账户口令的MD5 Hash值为 “21232f297a57a5a743894a0e4a801fc3”,通过上网查询,可以得到对应的口名明文。4.2 XSS跨站脚本攻击实例 XSS攻击通常也发生在Web应用程序对输入输出检查不充分的时候。但与其他攻击手段不
29、同的是,XSS攻击的目标通常不是Web应用程序本身,而是使用这个带漏洞的Web应用程序的另一名用户。恶意用户A把一条包含着恶意代码的消息发布到了Web应用程序guestbook里,当用户B去查看这条消息时,用户B的浏览器将试图解释并执行那段恶意代码,使得A具有了能够完全控制B系统的可能。XSS攻击可导致帐户/会话被盗用、cookie被盗、企业的品牌形象被误导或诋毁等。利用XSS漏洞最常见的攻击是窃取一般情况下无法为外人所得的用户的会话cookie。但是最近的攻击已经变得更加恶意,比如通过社交网路传播蠕虫,更严重的是,会利用恶意软件感染受害者电脑。以下为具体介绍:图4.2 攻击类型介绍 具体表现
30、为: OWASP Broken Web Applications ProjectOWASP BWA靶机虚拟镜像* Damn Vulnerable Web Application )XSS reflected输入(1) alert(Have funs)(2)alert(document.cookie)或者:使用OWASP BWA的Multillidae应用程序演示访问Mutillidae的Cross Site Scripting (XSS)输入:xss.js的内容如下:document.write (This is remote text via xss.js located at ha.cke
31、rs.org + document.cookie); alert (This is remote text via xss.js located at ha.ckers.org + document.cookie);4.3 跨站点请求伪造 CSRF:网页应用程序为用户提供持久的认证会话(例如:Cookie),因此,它们不需要每请求一个页面便进行一次验证。但是如果攻击者能诱使用户向网站提交一个请求,他便可以利用持久的会话来假冒受害者执行各种操作。不良后果:用户账户口令会被更改、资金会被转移、商品会被订购等。攻击者嵌入一个图像标签到一个网页中。并把网页上传到一个在线论坛。图像标签如下:img sr
32、c=“4.4 本章小结 本章节主要分析了渗透测试的实例分析,分别针对三种最常见的渗透方案进行了分析,并对结果进行了解释,以及提出相应的防范措施,对实际应用有很好的借鉴意义。 工程硕士学位论文 6结语5 结语目前开发和构建的许多Web应用程序都存在安全漏洞,这些安全漏洞对Web系统和个人隐私等敏感数据构成更大的安全威胁。在Web应用程序安全漏洞中,SQL注入漏洞是最严重的安全风险之一。开放Web应用安全项目组织已经发布了关于Web应用的十个关键风险报告的报告。在OWASP近年的一份报告中,SQL注入攻击目前正用于Web应用程序攻击。这个比例是最大的,它基于这个结论被排序的漏洞风险,这意味着SQL
33、注入攻击对当前的Web应用系统来说更严重。本文首先介绍了Web应用渗透技术基础,包括SQL注入攻击,跨站脚本,跨站伪造请求,OWASP Web漏洞,Web应用攻击典型案例,渗透测试工具简介等。然后具体介绍了SQL注入实例分析,XSS跨站脚本攻击实例分析,跨站点请求伪造,命令注入实例分析等。通过完整的网站渗透测试运行,阐述测试的过程,意义,结果,防范等内容,对信息安全有着重要意义。最后给出总结,遵守一些简单的原则就可以化解这种风险,包括及时打好补丁并采用最安全的配置,对所有的用户输入和输出进行检查,定期对自行开发的Web应用程序进行审计。通过这次毕业设计,我明白了自身知识和能力的欠缺,以前总觉得
34、自己奇思妙想层出不穷,什么都感觉一学就能懂,眼高手低,现在我总算能低下头颅,好好看看书本上的知识,学习是一个一生的过程,一生都应该处于不断学习当中,因此在以后的生活和工作中,我应该不断的学习各类知识,努力提高自己的学习能力和知识储备。这应该就是我通过这次毕业设计总结出的全部心得与经验了,不管怎样,虽然我学了很多新知识,但是感觉要学习的知识总是越来越多,知识永远不会学完。而且,知识还必须通过实践才能检验出其正确性与价值,有句名言,实践是检验知识的唯一真理,不经过实践的知识永远只是纸上谈兵罢了。有的知识学会了本以为自己已经会了,但是实际上动用这些知识的时候总是感觉自己没用融会贯通或者根本没用掌握,
35、所以想检测自己的知识到底有没有彻底掌握,很简单,实践一下就知道了,还有种说法,熟能生巧。只要熟悉的基本操作,就意味着你离完全掌握这项知识不远了。工程硕士学位论文 参考文献参考文献唐秀存, 杜德慧. 渗透测试技术与模型研究J. 计算机与信息技术, 2007(5):37-39.蒲石. Web安全渗透测试研究D. 西安电子科技大学, 2010.常艳, 王冠. 网络安全渗透测试研究J. 信息网络安全, 2012(11):3-4.闫天杰, 彭新光, 王玲. DoS渗透测试平台的设计与实现J. 太原理工大学学报, 2007, 38(4):290-293.张继业, 谢小权. 基于攻击图的渗透测试模型的设计J
36、. 计算机工程与设计, 2005, 26(6):1516-1518.张继业, 谢小权. 基于攻击图的渗透测试模型的设计C/ 第二十次全国计算机安全学术交流会论文集. 2005:1516-1518.李匀. 网络渗透测试:保护网络安全的技术、工具和过程M. 电子工业出版社, 2007.邢斌, 高岭, 孙骞,等. 一种自动化的渗透测试系统的设计与实现J. 计算机应用研究, 2010, 27(4):1384-1387.崔颖, 章丽娟, 吴灏. 基于攻击图的渗透测试方案自动生成方法J. 计算机应用, 2010, 30(8):2146-2150.袁浩. 计算机网络渗透测试研究D. 重庆大学, 2006.工
37、程硕士学位论文致谢致谢在这篇文章完成之际,我要把最诚挚的感谢送给老师,非常感谢您在撰写文章过程中不厌其烦地教导,让我十分受用,也使文章内容更加完善。十分感激老师在毕业期间的重视与鼓励,让我感觉到自己在文章撰写方面的不足,正是因为您正确的指导,让我取得了很大的学习和进步,保证我按时完成了文章的写作工作。老师严谨的工作态度与丰富的学识,也让我获益匪浅,以老师为榜样。是老师劳苦的教导让我们掌握了正确的科学研究方法,并学习了大量的专业知识。老师们认真的科研、教学态度,让学生们由衷地敬佩。在本次论文撰写过程中,我还得到了同门、朋友们的很多帮助,在整体结构的设计和一些细节实现上,大家给予了很大的帮助。这些建议让我的论文更加完善,也让我的学习和写作过程有了更大的动力源泉。最后真诚地感谢百忙之中抽出时间审阅本论文的专家!