# 服务器基础设施与弱口令风险

## 一、服务器基础设施信息
- **移动线路主站 IP**：`112.54.45.252` (福建福州 中国移动)
- **电信线路主站 IP**：`120.35.30.176` (福建福州 中国电信)
- **华为云服务 IP**：`114.115.172.176` (华为云北京，用于签章等服务)
- **Web 服务器**：OpenResty (Nginx + Lua)
- **同源站点**：包含 `czpj.czt.fujian.gov.cn`, `ggzyfw.fujian.gov.cn` 等，组成庞大的政务系统矩阵。

## 二、弱口令风险评估
1. **弱密码校验关闭 (中危)**
   - 配置暴露系统允许设置弱口令（`isShowWeakPassword: false`），容易遭受密码喷洒攻击。
2. **验证码强度极弱 (中危)**
   - 使用简单的 4 位静态图形验证码，在此次自动化评估中被轻松 OCR 识别突破。
3. **缺乏暴力破解防护机制 (中危)**
   - 登录页面未见显著的错误限制，存在遭自动化撞库破解的风险。
4. **统一认证的横向穿透风险 (中危)**
   - 作为省局统一 CA/OAuth 体系的一部分，一旦主站凭证失窃，攻击者可横向登录专家库、财政评价等其他关联子系统。

## 三、同源及同 IP 衍生服务安全分析
1. **主门户网关节点（112.54.45.252, 120.35.30.176）**
   - **对外暴露端口**：80 (HTTP), 443 (HTTPS), 8080 (未知 Web 服务)
   - **服务特征**：底层 Web 服务均为 `OpenResty`。80 正常 301 跳转。**值得警惕的是 8080 端口**同样被错误地暴露在外网，虽当前请求根目录返回 404，但表明内部应用代理端口未在安全组或防火墙级别对公网封禁。
2. **云端辅助节点（114.115.172.176 - 华为云）**
   - **对外暴露端口**：80 (HTTP), 8080 (未知 Web 服务)
   - **服务特征**：底层 Web 服务为 `nginx/1.20.2`（版本非最新版）。该节点用于签章和配置下发等高敏感业务，其 8080 等非标端口同样毫无掩护地对互联网完全开放。

## 四、修复建议
- **紧急端口收敛**：安全组或防火墙规则立刻封禁源站节点及承载节点（特别是华为云端）的 `8080` 等非标管理服务端口，仅对外开放必要的 HTTP/HTTPS。
- 引入行为验证（如滑动拼图），强制要求密码复杂度。
- 实现连续登录失败自动锁定账户策略。