# 衍生服务独立安全分析报告

## 一、衍生端口清单与状态
经过针对福建省政府采购网系统关联的三大核心 IP 节点进行详尽的端口和服务扫描，汇总外部衍生服务端点现状如下：

| 节点 | 归属网段 | 暴开衍生端口 | 服务指纹识别 | 访问状态 |
|------|----------|--------------|--------------|----------|
| `112.54.45.252` | 移动线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
| `120.35.30.176` | 电信线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
| `114.115.172.176` | 华为云签章辅助 | 8080 | 纯 TCP Socket / 轻HTTP | 无内容 404 |

*注：除了以上非标 Web 端口，各个 IP 均正常暴露 80/443（标准业务入口），且在纯 TCP 探测阶段也呈现 `21, 22, 23` 等常见管理端口的应答（底层系统或路由器屏蔽反馈过滤阶段）。*

## 二、8080 端口深度安全分析

### 1. 业务逻辑层探测 (Fuzzing)
针对 8080 端口执行了常见的目录爆破和敏感路径枚举，包含但不限于：
`/login`, `/admin`, `/api`, `/gateway`, `/actuator`, `/actuator/health`, `/swagger-ui.html`, `/.env` 等。
**结论**：三个 IP 上针对上述所有常见攻击路径全部返回 **404 Not Found**（112.x/120.x 由 OpenResty 拦截抛出，114.x 直接截断）。

### 2. 威胁评估
虽然当前通过 8080 端口没有发现诸如由于未授权访问直接接管 SpringBoot Actuator 监控或者 Swagger UI 接口泄露的问题，但 **8080 端口直接向互联网开放本身即是严重的架构违规**：
1. **隐藏服务暴露**：后端可能通过 Header 路由或特定内部 `/internal` 路径分发到了对应的漏洞组件。外部攻击者可以直接避开前端业务逻辑和 Web 应用防火墙（WAF，若部署在 80/443 接入端）。
2. **拒绝服务风险 (DoS)**：攻击者可以绕过正常的 443 流控，直接对后端的 8080 内置反代服务器甚至 Tomcat/Node 容器发起资源消耗型攻击。
3. **华为云节点缺陷**：`114.115.172.176` 作为电子签章（Kinggrid）下发等服务承载点，如果它的 8080 后台管理（如签章授权管理端）未来配置变动导致页面放开，将面临电子印章系统失窃的核弹级大患。

## 三、修复措施与闭环建议
1. **严格的访问控制列表 (ACL)**：
   - 使用云服务安全组（华为云主机）或各机房防火墙，立即将 `112.54.45.252`、`120.35.30.176`、`114.115.172.176` 的 `8080` 端口对 **所有公网 (0.0.0.0/0)** 进行阻断（DROP/REJECT）。
   - 如果 8080 端口确实需要给上游监控系统（如 Prometheus）或其他委办局拉取数据，必须绑定 IP 白名单策略接入。
2. **深度内部审计**：排查并确认 8080 后面挂载的真实进程组件（可能为测试用途的临时 Tomcat 或者其他非预期部署）。