cda31e86c7
- 靶场环境: DVWA/WebGoat/Pikachu/BWAPP/SQLi-Labs/XSS-Labs - SQL注入工具: sqli-scanner.py, blind-sqli.py, sqli-exploit.go - XSS工具: xss-fuzzer.py, xss-scanner.go - 认证攻击: web-brute.py, jwt-cracker.py - 服务端安全: port-scanner.py, tls-scanner.py - 防御配置: nginx-hardening.conf - 案例研究: 福建政采网安全评估报告 (13份) - 同步脚本: sync-gitea.sh
2.3 KiB
2.3 KiB
服务器基础设施与弱口令风险
一、服务器基础设施信息
- 移动线路主站 IP:
112.54.45.252(福建福州 中国移动) - 电信线路主站 IP:
120.35.30.176(福建福州 中国电信) - 华为云服务 IP:
114.115.172.176(华为云北京,用于签章等服务) - Web 服务器:OpenResty (Nginx + Lua)
- 同源站点:包含
czpj.czt.fujian.gov.cn,ggzyfw.fujian.gov.cn等,组成庞大的政务系统矩阵。
二、弱口令风险评估
- 弱密码校验关闭 (中危)
- 配置暴露系统允许设置弱口令(
isShowWeakPassword: false),容易遭受密码喷洒攻击。
- 配置暴露系统允许设置弱口令(
- 验证码强度极弱 (中危)
- 使用简单的 4 位静态图形验证码,在此次自动化评估中被轻松 OCR 识别突破。
- 缺乏暴力破解防护机制 (中危)
- 登录页面未见显著的错误限制,存在遭自动化撞库破解的风险。
- 统一认证的横向穿透风险 (中危)
- 作为省局统一 CA/OAuth 体系的一部分,一旦主站凭证失窃,攻击者可横向登录专家库、财政评价等其他关联子系统。
三、同源及同 IP 衍生服务安全分析
- 主门户网关节点(112.54.45.252, 120.35.30.176)
- 对外暴露端口:80 (HTTP), 443 (HTTPS), 8080 (未知 Web 服务)
- 服务特征:底层 Web 服务均为
OpenResty。80 正常 301 跳转。值得警惕的是 8080 端口同样被错误地暴露在外网,虽当前请求根目录返回 404,但表明内部应用代理端口未在安全组或防火墙级别对公网封禁。
- 云端辅助节点(114.115.172.176 - 华为云)
- 对外暴露端口:80 (HTTP), 8080 (未知 Web 服务)
- 服务特征:底层 Web 服务为
nginx/1.20.2(版本非最新版)。该节点用于签章和配置下发等高敏感业务,其 8080 等非标端口同样毫无掩护地对互联网完全开放。
四、修复建议
- 紧急端口收敛:安全组或防火墙规则立刻封禁源站节点及承载节点(特别是华为云端)的
8080等非标管理服务端口,仅对外开放必要的 HTTP/HTTPS。 - 引入行为验证(如滑动拼图),强制要求密码复杂度。
- 实现连续登录失败自动锁定账户策略。