cda31e86c7
- 靶场环境: DVWA/WebGoat/Pikachu/BWAPP/SQLi-Labs/XSS-Labs - SQL注入工具: sqli-scanner.py, blind-sqli.py, sqli-exploit.go - XSS工具: xss-fuzzer.py, xss-scanner.go - 认证攻击: web-brute.py, jwt-cracker.py - 服务端安全: port-scanner.py, tls-scanner.py - 防御配置: nginx-hardening.conf - 案例研究: 福建政采网安全评估报告 (13份) - 同步脚本: sync-gitea.sh
32 行
1.5 KiB
Markdown
32 行
1.5 KiB
Markdown
# 前端架构与数据风险分析
|
||
|
||
## 一、前端架构总览
|
||
- **框架**:Vue.js + Alibaba icestark 微前端架构
|
||
- **构建工具**:Vite(登录模块)/ Vue CLI(主站)
|
||
- **加密库**:SM2 国密算法 (`sm2.min.js`)、SM4 对称加密、RSA 加密
|
||
- **依赖库**:jQuery 1.12.4、qrcode.min.js、CKEditor、axios
|
||
- **CA 组件**:Kinggrid 金格电子签章、GEL 格尔CA
|
||
|
||
## 二、高危风险:敏感信息暴露
|
||
1. **JWT Token 明文多处存储**
|
||
- `access_token` 同时存储在 `Cookie` 和 `localStorage` 中,极易受 XSS 攻击被盗取。
|
||
2. **sessionStorage 明文存储 PII**
|
||
- 存储了用户手机号、邮箱、身份证号后缀、所属机构编码等信息。
|
||
3. **错误日志泄露内部架构**
|
||
- `localStorage['errLog']` 包含后端内部接口路径和完整 URL 映射。
|
||
|
||
## 三、中危风险:配置与策略缺陷
|
||
1. **配置文件暴露敏感密钥**
|
||
- `/gp-auth-web/config.js` 暴露了 SM4 加密公钥、RSA 公钥及云端内网 IP (`114.115.172.176`)。
|
||
2. **缺少 CSP 安全策略**
|
||
- 缺乏 `Content-Security-Policy` 响应头,无法防御 XSS。
|
||
3. **弱密码校验关闭**
|
||
- `isShowWeakPassword: false` 允许用户使用弱密码。
|
||
4. **陈旧组件库**
|
||
- jQuery 1.12.4 存在已知 XSS 漏洞 (CVE-2020-11022)。
|
||
|
||
## 四、修复建议
|
||
- JWT 仅存放于 HttpOnly Cookie。
|
||
- 移除 sessionStorage 中的 PII 信息和 localStorage 的日志。
|
||
- 敏感密钥改由后端动态获取,配置严格的 CSP 策略。
|