初始化: Web安全攻防知识库

- 靶场环境: DVWA/WebGoat/Pikachu/BWAPP/SQLi-Labs/XSS-Labs
- SQL注入工具: sqli-scanner.py, blind-sqli.py, sqli-exploit.go
- XSS工具: xss-fuzzer.py, xss-scanner.go
- 认证攻击: web-brute.py, jwt-cracker.py
- 服务端安全: port-scanner.py, tls-scanner.py
- 防御配置: nginx-hardening.conf
- 案例研究: 福建政采网安全评估报告 (13份)
- 同步脚本: sync-gitea.sh

06-case-studies/fujian-gov-procurement/reports/extended_web_service_security.md

@@ -0,0 +1,31 @@
+# 衍生服务独立安全分析报告
+
+## 一、衍生端口清单与状态
+经过针对福建省政府采购网系统关联的三大核心 IP 节点进行详尽的端口和服务扫描，汇总外部衍生服务端点现状如下：
+
+| 节点 | 归属网段 | 暴开衍生端口 | 服务指纹识别 | 访问状态 |
+|------|----------|--------------|--------------|----------|
+| `112.54.45.252` | 移动线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
+| `120.35.30.176` | 电信线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
+| `114.115.172.176` | 华为云签章辅助 | 8080 | 纯 TCP Socket / 轻HTTP | 无内容 404 |
+
+*注：除了以上非标 Web 端口，各个 IP 均正常暴露 80/443（标准业务入口），且在纯 TCP 探测阶段也呈现 `21, 22, 23` 等常见管理端口的应答（底层系统或路由器屏蔽反馈过滤阶段）。*
+
+## 二、8080 端口深度安全分析
+
+### 1. 业务逻辑层探测 (Fuzzing)
+针对 8080 端口执行了常见的目录爆破和敏感路径枚举，包含但不限于：
+`/login`, `/admin`, `/api`, `/gateway`, `/actuator`, `/actuator/health`, `/swagger-ui.html`, `/.env` 等。
+**结论**：三个 IP 上针对上述所有常见攻击路径全部返回 **404 Not Found**（112.x/120.x 由 OpenResty 拦截抛出，114.x 直接截断）。
+
+### 2. 威胁评估
+虽然当前通过 8080 端口没有发现诸如由于未授权访问直接接管 SpringBoot Actuator 监控或者 Swagger UI 接口泄露的问题，但 **8080 端口直接向互联网开放本身即是严重的架构违规**：
+1. **隐藏服务暴露**：后端可能通过 Header 路由或特定内部 `/internal` 路径分发到了对应的漏洞组件。外部攻击者可以直接避开前端业务逻辑和 Web 应用防火墙（WAF，若部署在 80/443 接入端）。
+2. **拒绝服务风险 (DoS)**：攻击者可以绕过正常的 443 流控，直接对后端的 8080 内置反代服务器甚至 Tomcat/Node 容器发起资源消耗型攻击。
+3. **华为云节点缺陷**：`114.115.172.176` 作为电子签章（Kinggrid）下发等服务承载点，如果它的 8080 后台管理（如签章授权管理端）未来配置变动导致页面放开，将面临电子印章系统失窃的核弹级大患。
+
+## 三、修复措施与闭环建议
+1. **严格的访问控制列表 (ACL)**：
+   - 使用云服务安全组（华为云主机）或各机房防火墙，立即将 `112.54.45.252`、`120.35.30.176`、`114.115.172.176` 的 `8080` 端口对 **所有公网 (0.0.0.0/0)** 进行阻断（DROP/REJECT）。
+   - 如果 8080 端口确实需要给上游监控系统（如 Prometheus）或其他委办局拉取数据，必须绑定 IP 白名单策略接入。
+2. **深度内部审计**：排查并确认 8080 后面挂载的真实进程组件（可能为测试用途的临时 Tomcat 或者其他非预期部署）。