39 KiB
安全资讯日报 2025-10-24
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-10-24 10:24:49
今日资讯
🔍 漏洞分析
- 漏洞情报已验证 | 0 Day 金和OA ExamineNodSingletonXml.aspx 存在SQL注入漏洞
- 网络安全行业,为什么总是谈“两高一弱”是最危险的安全漏洞?
- 2025年9月企业必修安全漏洞清单
- Tosei自助洗衣机network_test.php接口存在远程命令执行漏洞 附POC
- 特工身份藏不住了!NSA 遭 “集体开盒”,暴露网络战人员防护致命漏洞
- Pwn2Own第二日:主办方为56个零日漏洞支付79.2万美元
- 超过250次攻击通过关键漏洞CVE-2025-54236针对Adobe Commerce与Magento
- 新型DefenderWrite工具可向杀毒软件执行目录注入恶意DLL
- 高危漏洞预警用友NC OAUserQryServlet反序列化漏洞
- 软件测试转安全测试:30 天掌握接口漏洞测试
- 防火墙拦截的 SQL 注入攻击案例:为何攻击者盯上 win.ini?
- VirtualBox 存在多个漏洞,可导致系统被接管
- 高危漏洞预警Cisco IOS XE Software命令执行漏洞CVE-2025-20334
- 超越凭证攻击:利用OAuth应用实现云端持久化访问
- 深度拆解:从SMS漏洞到42种工具集,一次针对“北京时间”的“教科书式”攻击
- 漏洞预警 | Apache ActiveMQ反序列化漏洞
- 漏洞预警 | 同享人力资源管理系统SQL注入漏洞
- 漏洞预警 | 金和OA XXE漏洞
🔬 安全研究
- 中国汽车工业协会:汽车行业可信数据空间研究报告2025
- 邪修怎么逆向uniapp的加解密?没有技术,全是技巧!
- 某大学生常用APP抓包数据加密流程分析
- Gartner2026年十大战略技术趋势发布! 「前置式主动网络安全」重塑企业防御体系
- 赛事中标 丨广西职业技术学院实训教学设备更新项目—网络信息安全
- 一个flutter框架的App渗透日记
- 基于ATT&CK框架全景复盘NSA对国家授时中心的网络战
- 常用的将python项目打包成exe可执行文件的三大方法
🎯 威胁情报
- 300页 25种红队黑客攻击技巧
- 400万损失谁之过?公安部披露政务系统被攻击案,三方责任方受严惩
- 日本电商巨头ASKUL遭黑客攻击 系统瘫痪全力修复中
- 天际友盟荣膺收录《中国网络安全年鉴2025》:以数字攻击面防护能力,护航AI时代业务安全
- CMC最新调查:捷豹路虎网络攻击事件已让英国损失超180 亿元
- 超级靶场限免3天尼奥的征途:寻找黑客帝国的密码
- 每周高级威胁情报解读2025.10.17~10.23
- 网络威胁秒发现!FastMonitor:流量监控 + 威胁检测二合一,运维必备
- 「"Nextrap"」10月24日-今日疑似在野情报
- 捷豹路虎遭网络攻击 英国经济损失高达25亿英镑
- 拉撒路组织以"理想工作行动"为诱饵 瞄准欧洲无人机防务企业
- 反转!间谍软件开发者成间谍软件攻击受害者|47GB机密即将外泄!俄罗斯黑客盯上高尔夫奢牌
- 无印良品等零售巨头被迫临时关停电商:因关键供应商遭勒索攻击
- 反转!间谍软件开发者成间谍软件攻击受害者
- SideWinder 组织借微软ClickOnce技术发动一键式网络攻击——每周威胁情报动态第243期(10.17-10.23)
- 曹县 Lazarus 黑客通过“梦想工作行动”攻击了 3 家欧洲国防公司
- 与巴基斯坦有关的黑客组织瞄准印度政府
- 美国国家安全局特工被黑客“集体开盒”
- 关于防范SEO投毒攻击的风险提示
- 1024-暗网威胁情报监测系统重磅升级更加强大
- 红蓝对抗、攻防渗透、威胁情报、数据泄露
- 针对某银行演练红队攻击样本分析
- 黑客们的1024
🛠️ 安全工具
- 你还在手动检测?用 BucketTool 秒破 OSS/COS/OBS/S3 漏洞!
- 99攻防不靠大厂内部工具,学生党也能搭建自己的攻防打点工作流
- 一款超好用的应急分析溯源日志工具
- PHP代审基于PHPWork的HR人力资源管理系统审计
- Nginx日志审计小模型重大版本更新
- 御道 | MAVAS:大模型安全风险的“CT扫描仪”
- 工具 | EasyTshark
📚 最佳实践
- 加量不加价,10行代码解决瑞数防重放适合网安人的速成加解密逆向教程
- 工信部《算力标准体系建设指南(2025版)(征求意见稿)》公开征求意见
- 4家银行因“违反金融科技管理规定”等被罚
- 阵列式原木智能检尺系统在广西某大型木材工厂完成部署
- 三周年献礼:One-Fox零基础培训计划,带你从配置环境到实战攻防—文末抽奖
- 赛事招标丨信息安全与智慧应用实践平台—网络空间安全实训平台
- 关于举办“2025年(第十四届)信息通信网络安全管理员职业技能竞赛”的通知
- 如何解决解决路由选择头疼问题?管理距离(AD)很重要!
- 18.3KStar!一款开源的防护神器!
🍉 吃瓜新闻
- 菜鸟实习生手撕黑客帝国,全网直播反杀现场(爽文)
- 工业自动化巨头耐德电气与艾默生公司上榜Clop勒索
- 国企数科公司——大胆开麦篇
- 双重危机:俄 MVD 数据泄露与 AWS 全球宕机
- 伪基站批量入网,2.2 万用户数据被盗,运营商道歉
- 20 年数据恢复专家:90% 的硬盘损坏能救!这 3 个误区别踩
- 凌晨2:37,医院数据库“心梗”:一条慢SQL如何让ICU差点停摆?
- 2025年“数据要素×”大赛全国总决赛线下终评倒计时2天
📌 其他
- 逍遥安全培训SRC小程序APP抓包漏洞挖掘配置课
- 程序员节 | 代码织就安全网 云堤筑防固金汤
- 生成式人工智能应用发展报告(2025)全文
- vagrant 一键搭建各种虚拟机
- 解锁macOS新姿势:手把手教你用SSH远程登录,效率倍增!
- 湘乡电诈案侦破记:六个月的追踪之路
- 净网—2025|编造“爆炸”谣言制造恐慌,网警依法查处
- 央视法治在线丨u200cAI造谣 “移花接木” 起底无底线博流量网络乱象
- 央视法治在线|起底无底线博流量网络乱象
- 欧洲航天合并启动:挑战SpaceX,将重塑全球太空格局
- 凭证窃取利器Vidar Stealer 2.0或重塑网络犯罪市场
- 5th域安全微讯早报20251024255期
- 暗网快讯20251024期
- 2家银行未经同意查询个人信息被罚 3名员工对此负有责任
- 关于“密评”与“密测 ”
- 秦安:特朗普很危险,完全站在美国利益的对立面,甚至为俄爆粗口
- 牟林:挨痛了,就撒泼打滚,这才是特朗普的真实形象
- Less-3 GET-Error based-Single quotes with twist-String
- 高管安全意识觉醒:从"安全成本"到"业务护盾"的认知转变
- 议程公布2025科创西安·SSC网络安全大会,10月24日,西安等您!
- 西安SSC报名通道开启
- 清华大学,这次的瓜有点大!
- 短剧
- 从授时中心到涉密单位,境外品牌手机泄密频发,中孚“猎影”精准反制!
- 等保2.0与密评(商用密码评估)常见50个问题
- 《你尽力了吗——25年后的再追问》
- 抓大鹅
- 文末抽会员好靶场突破300+
- 社招泰尔终端实验室公开招聘数字安全专业人才
- 思科开源CodeGuard,为AI编程筑起“安全护栏”
- 中国移动:2025智慧城市低空应用人工智能安全白皮书
- 智能网联汽车 SOME/IP 在线实战培训课程 2025
- AI 加持:钓鱼成功率暴涨 4.5 倍
- 1024 致敬每一个在代码里追光的人!
- 记一次组合拳之SPEL Bypass
- Linux 系统提权概述
- 糟了...敲上头了
- 补充初中级几道网络安全等级测评师能力评估简答题和设计题
- 初赛倒计时1天!第八届“强网”拟态防御国际精英挑战赛
- N1CTF 2025开启注册,细则发布
- 源码阅读篇:D810阅读篇(一)
- 1024程序员节,致敬每一位创造不凡的你!
- 校园专场宣贯进行中!北京航空航天大学专场宣贯会顺利举行
- 校园专场宣贯进行中!北京化工大学专场宣贯会顺利举行
- 第九届“强网杯”全国网络安全挑战赛初赛WriteUp
- 火锅小队WRITEUP
- 从新加坡辐射全球:T-INNOWARE 借 GovWare 2025 加速 AI 网安方案国际化
- 1024程序员节:「码」力全开 点亮网安未来
- 第一批90后,已经迎来断崖式衰老了。
- 2025“车路云一体化”全球进展、应用场景、市场规模及前景展望报告
- 2025 年 10 月中央国家机关台式机、笔记本等四大设备集采中标信息公布
- 那当然
- sci论文润色机构怎么选?这家老牌机构能让接收率提升78.6%
- 钓鱼应急动作评分自测表(附解析)
- 密码学数字签名方案
- 年度盛会|香港2025网络安全峰会,共同构建未来数字基础设施
- 香港总代理Tritech遭清盘呈请,聆讯延期待抗辩
- 深度扒皮:新型LinkPro Rootkit如何用eBPF和ld.so.preload玩转“双重隐身”?
- 祝所有的IT科技工作者,节日快乐!
- 每天一个网络知识:什么是动态地址
- Nuclear音乐播放器v0.6.48版本更新,免费听歌就是干!
- 1024丨程序员的工位“物语”
- 会议即将召开!中国信通院《可信AI云 AI原生安全能力成熟度要求》暨《云上智能体安全态势发展报告(2025》研讨会重磅来袭!
- Python EXE程序反编译
- VT+OTX+阿里云+Freebuf全打通,查哈希→出家族→给Yara→自动封IP,一条龙getshell
- 速进!全平台项目群“安服崽”交流群
- 网络安全法将二审:拟增加AI安全条款、加大处罚力度
安全分析
(2025-10-24)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-0411 - 7-Zip MotW Bypass 漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-10-23 00:00:00 |
| 最后更新 | 2025-10-23 17:45:50 |
📦 相关仓库
💡 分析概述
该漏洞针对7-Zip软件,允许攻击者绕过“标记-of-the-Web”(MotW)安全机制,从而可能导致任意代码执行。该仓库提供了POC(Proof of Concept)演示,展示了如何通过构造恶意压缩包来触发此漏洞。仓库代码展示了漏洞利用方法,但需要用户交互。结合提供的README.md文档和github提交信息,可以了解到该漏洞的具体触发方式和利用条件。最新提交信息表明,仓库持续更新和维护,修复了旧链接并更新了文档说明。漏洞利用需要用户下载并运行恶意压缩包,对用户有一定欺骗性。此外,该漏洞已经被公开披露,存在官方修复版本,但漏洞可能存在于未更新的7-Zip版本中。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 漏洞允许绕过7-Zip的MotW保护机制。 |
| 2 | 攻击者需要诱使用户下载并运行恶意压缩文件。 |
| 3 | 漏洞影响7-Zip所有低于24.09的版本。 |
| 4 | PoC 证明了通过双重压缩可绕过MotW。 |
| 5 | 官方已发布补丁,但补丁覆盖率可能不足 |
🛠️ 技术细节
漏洞原理是7-Zip在处理带有MotW标记的压缩文件时,未正确将MotW标记传递给解压后的文件,从而导致安全防护失效。
利用方法包括构造恶意的7-Zip压缩包,并在其中包含可执行文件。诱使用户下载并解压该压缩包,进而触发恶意代码执行。
修复方案是升级到7-Zip 24.09或更高版本。同时,用户应谨慎对待来自不可信来源的文件。
🎯 受影响组件
• 7-Zip (所有24.09之前的版本)
⚡ 价值评估
展开查看详细评估
该漏洞允许绕过常见的安全防护机制,并可能导致远程代码执行。虽然需要用户交互,但由于7-Zip的广泛使用,潜在影响范围较大。存在公开的POC,降低了利用门槛,时效性良好,有实际的威胁价值。
CVE-2025-53770 - SharePoint RCE漏洞扫描工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-53770 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-10-23 00:00:00 |
| 最后更新 | 2025-10-23 19:10:00 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对SharePoint远程代码执行漏洞(CVE-2025-53770)的扫描工具。仓库的核心功能是扫描SharePoint服务器,通过发送特定payload探测是否存在漏洞。 从提交历史来看,该仓库在持续更新,虽然Star数为0,但作者积极更新readme文件, 提供了下载链接,并且修复了URL解析和多目标处理相关的错误。该工具的漏洞利用方式是,通过构造恶意的HTTP POST请求,向SharePoint服务器的特定端点发送payload,从而触发远程代码执行。根据readme中的描述,该payload是针对CVE-2025-53770的,通过在SharePoint ToolBox widget中注入一个标记来检测漏洞是否存在。 考虑到漏洞的严重性,利用的潜在可能性,以及工具的可用性,该漏洞扫描工具具有一定的价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 针对SharePoint的RCE漏洞(CVE-2025-53770)的扫描工具。 |
| 2 | 通过发送特制的payload来探测漏洞,验证漏洞是否存在。 |
| 3 | 提供了下载和使用说明,降低了使用门槛。 |
| 4 | 代码中包含探测逻辑,可用于检测SharePoint版本。 |
🛠️ 技术细节
该工具通过构造HTTP POST请求,向SharePoint服务器的/_layouts/15/ToolPane.aspx端点发送数据。
工具发送的payload包含用于触发RCE的恶意代码。
漏洞利用的关键在于构造MSOTlPn_DWP参数,该参数可以注入ASP.NET指令和服务器端标记,进而实现代码执行。
工具通过检测服务器响应,来判断目标SharePoint服务器是否存在漏洞。
🎯 受影响组件
• SharePoint Server on-premise 版本,需要安装KB5002768 & KB5002754 补丁以修复该漏洞。
⚡ 价值评估
展开查看详细评估
该工具针对SharePoint RCE漏洞,且提供了相对简单的利用方式。考虑到SharePoint的广泛应用,以及RCE的严重性,该工具具有较高的实战价值。虽然该工具还处于开发的早期阶段,但提供的基本功能可以帮助安全人员快速检测漏洞。
CVE-2025-32463 - Linux sudo chroot 本地提权
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32463 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-10-23 00:00:00 |
| 最后更新 | 2025-10-23 23:17:35 |
📦 相关仓库
💡 分析概述
该仓库提供了一个关于CVE-2025-32463漏洞的工具和相关信息。 仓库结构简单,包含README.md和可能的安装包文件。README.md详细介绍了漏洞概述、影响、利用方式和缓解措施。 通过分析提交历史,可以看到仓库作者持续更新README.md文档,添加了下载链接和安装说明,并且提供了下载的压缩包。 考虑到该漏洞涉及本地提权,如果漏洞真实存在,其危害较高。 虽然仓库star数量为0,但文档信息较为完整,并且提供了下载链接,存在一定的潜在威胁。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 漏洞允许低权限用户提权至root权限,完全控制系统。 |
| 2 | 利用方式可能涉及到sudo chroot命令的特定配置或恶意输入。 |
| 3 | README.md文档提供了漏洞描述、影响分析以及基本的利用步骤。 |
| 4 | 仓库提供了下载链接,方便用户获取用于漏洞利用的工具。 |
🛠️ 技术细节
漏洞原理:基于sudo和chroot的组合,通过构造特定的输入或错误配置,绕过权限检查。
利用方法:可能需要构造特定参数或者环境,利用sudo chroot命令的漏洞进行提权。
修复方案:更新sudo到修复版本,或者配置更严格的权限控制。
🎯 受影响组件
• sudo(具体版本待定,但根据描述,1.9.14至1.9.17受影响)
⚡ 价值评估
展开查看详细评估
该漏洞涉及本地提权,一旦被利用,将导致系统完全沦陷。 虽然当前信息有限,但提供的描述和下载链接增加了潜在的威胁。 结合利用难度和危害程度,该CVE漏洞具有较高的评估价值。
CVE-2025-61984 - CVE-2025-61984 远程命令执行
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-61984 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-10-24 00:00:00 |
| 最后更新 | 2025-10-24 01:36:00 |
📦 相关仓库
💡 分析概述
该CVE-2025-61984漏洞的PoC仓库https://github.com/flyskyfire/cve-2025-61984-poc是一个用于演示漏洞利用的仓库。根据提交信息,该仓库创建了.gitmodules文件,该文件定义了一个名为malicious的子模块,指向一个恶意仓库,并使用source poc.sh语句尝试执行poc.sh脚本。poc.sh脚本的功能是建立一个反向shell,将shell连接到攻击者的IP地址和端口。虽然仓库信息显示star数为0, PoC处于初期阶段,但这种组合可能导致远程代码执行。结合git submodule的特性,攻击者可以诱导受害者clone恶意仓库,并触发代码执行,从而完全控制目标系统。 评估其利用价值是基于该漏洞具备远程代码执行能力,利用难度较低,但实际威胁取决于目标环境。因此,该CVE具有一定实战价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 漏洞类型:远程代码执行(RCE) |
| 2 | 利用方式:诱导受害者clone恶意仓库,通过git submodule和source执行恶意脚本 |
| 3 | 攻击条件:受害者clone并运行了包含恶意git submodule的仓库 |
| 4 | 威胁影响:完全控制目标系统,执行任意命令 |
| 5 | 防护状态:PoC处于早期阶段,需要关注补丁情况和实际影响 |
🛠️ 技术细节
漏洞成因:攻击者构造恶意
.gitmodules文件,定义指向恶意仓库的子模块,并在.git/config配置中设置执行恶意脚本。用户在clone时,git 会自动下载并初始化子模块,从而触发恶意脚本的执行。
利用方法:1. 攻击者创建一个包含恶意
.gitmodules文件的Git仓库。2. 攻击者诱使受害者clone该仓库。3. 受害者clone后,git将自动初始化子模块,并执行恶意脚本,建立反向shell。
修复方案:1. 避免clone来源不明的Git仓库。2. 检查
.gitmodules文件和.git/config配置,确保没有恶意内容。3. 及时更新Git版本,以修复相关漏洞。
🎯 受影响组件
• 任何使用Git并clone了恶意仓库的系统,具体受影响的版本依赖于git的版本和配置。
⚡ 价值评估
展开查看详细评估
该漏洞具备远程代码执行能力,利用难度较低,潜在危害巨大。结合git submodule的特性,可能造成广泛影响。尽管PoC处于早期阶段且star数为0,但其潜在的风险值得关注。
jenkins-liferay--stable-bind-shell - Groovy脚本RCE,持久化Bind Shell
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | jenkins-liferay--stable-bind-shell |
| 风险等级 | HIGH |
| 安全类型 | 漏洞利用 |
| 更新类型 | 文档更新 |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库提供了一个Groovy脚本,用于在Jenkins或Liferay等应用中,通过Groovy脚本控制台写入JSP webshell,并实现RCE。该脚本创建了一个持久化的bind shell,即使连接中断也能重新连接。核心功能是利用Groovy脚本控制台的特性,绕过文件上传限制,将恶意JSP文件写入Web根目录,从而实现远程命令执行。更新内容包括README.md的修改,对脚本功能和使用方法的描述进行了优化。漏洞利用方式:利用Groovy脚本控制台执行代码,将JSP webshell写入Web根目录,然后通过访问该JSP文件,激活bind shell。由于脚本创建的是bind shell,攻击者需要连接到目标服务器的特定端口才能进行交互。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用Jenkins/Liferay的Groovy脚本控制台进行RCE。 |
| 2 | 通过写入JSP webshell实现持久化bind shell。 |
| 3 | 绕过文件上传限制,提供一种在受限环境下执行代码的方法。 |
| 4 | 脚本提供多线程支持,保证bind shell的稳定性。 |
| 5 | 详细的使用说明,方便复现和利用。 |
🛠️ 技术细节
Groovy脚本通过写入JSP文件到Web根目录,实现了命令执行。
JSP webshell包含一个多线程的bind shell,监听指定端口。
脚本使用了Java的ServerSocket和Socket类,实现网络连接和命令转发。
脚本通过Runtime.getRuntime().exec()执行系统命令,并重定向输入输出流。
脚本提供了使用netcat连接bind shell的示例。
🎯 受影响组件
• Jenkins
• Liferay
• Tomcat (或其他Web服务器)
• Groovy脚本控制台
• JSP
⚡ 价值评估
展开查看详细评估
该项目展示了一种在特定环境下绕过限制、实现RCE的实用方法。虽然依赖于Groovy脚本控制台的可用性,但其在受限环境下的利用价值较高,且提供了清晰的利用步骤和代码示例,具有一定的研究价值和实战参考意义。
SecAlerts - 微信公众号漏洞文章聚合
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | SecAlerts |
| 风险等级 | LOW |
| 安全类型 | 漏洞情报 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 5
- 变更文件数: 5
💡 分析概述
该仓库是一个微信公众号安全漏洞文章链接的聚合项目。本次更新主要体现为对2025年10月24日和23日新增漏洞文章的收录,其中包括了Pwn2Own、Adobe Commerce与Magento、用友NC OA、OSS/COS/OBS/S3等多个漏洞相关的文章链接,以及SRC高危逻辑漏洞挖掘,自动化资产测绘+漏洞扫描等安全测试相关的文章。由于该仓库只是一个链接聚合,本身不包含漏洞利用代码,因此无法直接分析漏洞的利用方式,但其收录的文章可以为安全研究人员提供最新的漏洞情报,具有一定的参考价值。本次更新主要体现为对漏洞信息的更新。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 聚合微信公众号安全漏洞文章链接 |
| 2 | 更新了2025年10月23日和24日的漏洞文章 |
| 3 | 涉及Pwn2Own、Adobe、用友、OSS等多个漏洞 |
| 4 | 提供最新的漏洞情报,便于安全研究人员参考 |
🛠️ 技术细节
该仓库通过GitHub Actions自动更新,收集了微信公众号上的安全漏洞文章链接
更新内容为新增的漏洞文章的标题、链接、来源和日期
主要更新是对archive/2025/2025-10-23.json和archive/2025/2025-10-24.json文件的修改
🎯 受影响组件
• 微信公众号文章链接
• GitHub Actions
• archive/*.json
⚡ 价值评估
展开查看详细评估
该仓库聚合了最新的安全漏洞文章,为安全研究人员提供及时有效的漏洞情报,有助于了解最新的攻击趋势和漏洞细节。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。