# 福建政府采购网安全评估案例研究

> `AUTHORIZED CASE ARTIFACT` | `仅限授权案例复盘` | `不是通用模板`

本文件归档的是特定授权案例的复盘结论，可能引用具体公网资产、域名和配置观察结果。这些内容用于案例教学和证据留存，不表示可对任意第三方站点执行同类测试。

## 案例概述

**评估目标**: 福建省政府采购网 (`zfcg.czt.fujian.gov.cn`)  
**评估时间**: 2026-03-09 至 2026-03-10  
**评估范围**: Web安全、服务器安全、基础设施安全

## 发现的关键漏洞

### 🔴 紧急级别 (5项)

| 编号 | 漏洞 | 影响 |
|------|------|------|
| C-01 | TLS 使用 RC4-MD5 弱密码套件 | 会话可被解密 |
| C-02 | JWT Token 存储于 localStorage | XSS可窃取Token |
| C-03 | PII 明文存储于 sessionStorage | XSS可窃取用户信息 |
| C-04 | Nacos 8848 端口对公网开放 | 微服务配置可被访问 |
| C-05 | OAuth 重定向使用 HTTP | 授权码可被劫持 |

### 🔴 高危级别 (6项)

| 编号 | 漏洞 | 影响 |
|------|------|------|
| H-01 | 登录接口无暴力破解防护 | 可被暴力破解 |
| H-02 | 主页缺失所有安全响应头 | 多种攻击风险 |
| H-03 | 无 DMARC/SPF/DKIM | 邮件可被伪造 |
| H-04 | Cookie 缺少 HttpOnly/Secure | XSS可窃取Cookie |
| H-05 | SM4/RSA 密钥在 config.js 暴露 | 加密可被破解 |
| H-06 | 不支持 TLS 1.3 | 安全性不足 |

## 学习要点

### 1. 前端安全

- **问题**: JWT Token 和 PII 明文存储
- **教训**: 敏感数据应仅存储于 HttpOnly Cookie
- **工具**: 可用 XSS Fuzzer 测试

### 2. 认证安全

- **问题**: 无暴力破解防护、弱验证码
- **教训**: 必须实施限速和账户锁定
- **工具**: 可用 web-brute.py 测试

### 3. TLS 安全

- **问题**: 使用过时的加密套件
- **教训**: 仅使用 AES-GCM 或 ChaCha20
- **工具**: 可用 tls-scanner.py 检测

### 4. 基础设施安全

- **问题**: 敏感端口对公网开放
- **教训**: 管理端口必须限制访问
- **工具**: 可用 port-scanner.py 扫描

## 相关工具应用

```bash
# 1. 端口扫描
python3 /Users/x/websafe/04-server-security/scanning/tools/port-scanner.py \
    -H zfcg.czt.fujian.gov.cn --top-ports 100

# 2. TLS 检测
python3 /Users/x/websafe/04-server-security/tls/tools/tls-scanner.py \
    -u https://zfcg.czt.fujian.gov.cn

# 3. XSS 测试 (仅测试环境)
python3 /Users/x/websafe/02-xss/tools/xss-fuzzer.py \
    -u "https://zfcg.czt.fujian.gov.cn/search?q=test"
```

## 报告文件清单

| 文件 | 内容 |
|------|------|
| `security_assessment_report.md` | 完整安全评估报告 |
| `frontend_security_analysis.md` | 前端安全分析 |
| `backend_api_security_analysis.md` | 后端接口分析 |
| `infrastructure_and_password_security.md` | 基础设施分析 |
| `deep_penetration_test_report.md` | 深度渗透测试 |
| `privilege_escalation_report.md` | 提权攻击分析 |
| `vulnerability_crossref_report.md` | 漏洞交叉对照 |
| `full_guide_audit_report.md` | 全景审计报告 |

## 修复优先级

```
P0 (立即):
1. 封禁 Nacos 8848 端口公网访问
2. 禁用 RC4-MD5 密码套件
3. Token 迁移至 HttpOnly Cookie
4. OAuth 重定向强制 HTTPS

P1 (一周内):
5. 清除 sessionStorage PII
6. 配置 HSTS + CSP
7. 实施登录限速
8. 配置 SPF/DMARC

P2 (一月内):
9. 升级 jQuery
10. 缩短 Token 有效期
11. Actuator 移至内网
```

## 联系方式

本案例仅供安全研究和教育目的。未经授权对真实系统进行测试是违法行为。