websafe-kb/06-case-studies/fujian-gov-procurement/lessons-learned.md

福建政府采购网安全评估案例研究

案例概述

评估目标: 福建省政府采购网 (zfcg.czt.fujian.gov.cn)
评估时间: 2026-03-09 至 2026-03-10
评估范围: Web安全、服务器安全、基础设施安全

发现的关键漏洞

🔴 紧急级别 (5项)

编号	漏洞	影响
C-01	TLS 使用 RC4-MD5 弱密码套件	会话可被解密
C-02	JWT Token 存储于 localStorage	XSS可窃取Token
C-03	PII 明文存储于 sessionStorage	XSS可窃取用户信息
C-04	Nacos 8848 端口对公网开放	微服务配置可被访问
C-05	OAuth 重定向使用 HTTP	授权码可被劫持

🔴 高危级别 (6项)

编号	漏洞	影响
H-01	登录接口无暴力破解防护	可被暴力破解
H-02	主页缺失所有安全响应头	多种攻击风险
H-03	无 DMARC/SPF/DKIM	邮件可被伪造
H-04	Cookie 缺少 HttpOnly/Secure	XSS可窃取Cookie
H-05	SM4/RSA 密钥在 config.js 暴露	加密可被破解
H-06	不支持 TLS 1.3	安全性不足

学习要点

1. 前端安全

• 问题: JWT Token 和 PII 明文存储
• 教训: 敏感数据应仅存储于 HttpOnly Cookie
• 工具: 可用 XSS Fuzzer 测试

2. 认证安全

• 问题: 无暴力破解防护、弱验证码
• 教训: 必须实施限速和账户锁定
• 工具: 可用 web-brute.py 测试

3. TLS 安全

• 问题: 使用过时的加密套件
• 教训: 仅使用 AES-GCM 或 ChaCha20
• 工具: 可用 tls-scanner.py 检测

4. 基础设施安全

• 问题: 敏感端口对公网开放
• 教训: 管理端口必须限制访问
• 工具: 可用 port-scanner.py 扫描

相关工具应用

# 1. 端口扫描
python3 /Users/x/websafe/04-server-security/scanning/tools/port-scanner.py \
    -H zfcg.czt.fujian.gov.cn --top-ports 100

# 2. TLS 检测
python3 /Users/x/websafe/04-server-security/tls/tools/tls-scanner.py \
    -u https://zfcg.czt.fujian.gov.cn

# 3. XSS 测试 (仅测试环境)
python3 /Users/x/websafe/02-xss/tools/xss-fuzzer.py \
    -u "https://zfcg.czt.fujian.gov.cn/search?q=test"

报告文件清单

文件	内容
security_assessment_report.md	完整安全评估报告
frontend_security_analysis.md	前端安全分析
backend_api_security_analysis.md	后端接口分析
infrastructure_and_password_security.md	基础设施分析
deep_penetration_test_report.md	深度渗透测试
privilege_escalation_report.md	提权攻击分析
vulnerability_crossref_report.md	漏洞交叉对照
full_guide_audit_report.md	全景审计报告

修复优先级

P0 (立即):
1. 封禁 Nacos 8848 端口公网访问
2. 禁用 RC4-MD5 密码套件
3. Token 迁移至 HttpOnly Cookie
4. OAuth 重定向强制 HTTPS

P1 (一周内):
5. 清除 sessionStorage PII
6. 配置 HSTS + CSP
7. 实施登录限速
8. 配置 SPF/DMARC

P2 (一月内):
9. 升级 jQuery
10. 缩短 Token 有效期
11. Actuator 移至内网

联系方式

本案例仅供安全研究和教育目的。未经授权对真实系统进行测试是违法行为。