115 行
3.5 KiB
Markdown
115 行
3.5 KiB
Markdown
# 福建政府采购网安全评估案例研究
|
|
|
|
> `AUTHORIZED CASE ARTIFACT` | `仅限授权案例复盘` | `不是通用模板`
|
|
|
|
本文件归档的是特定授权案例的复盘结论,可能引用具体公网资产、域名和配置观察结果。这些内容用于案例教学和证据留存,不表示可对任意第三方站点执行同类测试。
|
|
|
|
## 案例概述
|
|
|
|
**评估目标**: 福建省政府采购网 (`zfcg.czt.fujian.gov.cn`)
|
|
**评估时间**: 2026-03-09 至 2026-03-10
|
|
**评估范围**: Web安全、服务器安全、基础设施安全
|
|
|
|
## 发现的关键漏洞
|
|
|
|
### 🔴 紧急级别 (5项)
|
|
|
|
| 编号 | 漏洞 | 影响 |
|
|
|------|------|------|
|
|
| C-01 | TLS 使用 RC4-MD5 弱密码套件 | 会话可被解密 |
|
|
| C-02 | JWT Token 存储于 localStorage | XSS可窃取Token |
|
|
| C-03 | PII 明文存储于 sessionStorage | XSS可窃取用户信息 |
|
|
| C-04 | Nacos 8848 端口对公网开放 | 微服务配置可被访问 |
|
|
| C-05 | OAuth 重定向使用 HTTP | 授权码可被劫持 |
|
|
|
|
### 🔴 高危级别 (6项)
|
|
|
|
| 编号 | 漏洞 | 影响 |
|
|
|------|------|------|
|
|
| H-01 | 登录接口无暴力破解防护 | 可被暴力破解 |
|
|
| H-02 | 主页缺失所有安全响应头 | 多种攻击风险 |
|
|
| H-03 | 无 DMARC/SPF/DKIM | 邮件可被伪造 |
|
|
| H-04 | Cookie 缺少 HttpOnly/Secure | XSS可窃取Cookie |
|
|
| H-05 | SM4/RSA 密钥在 config.js 暴露 | 加密可被破解 |
|
|
| H-06 | 不支持 TLS 1.3 | 安全性不足 |
|
|
|
|
## 学习要点
|
|
|
|
### 1. 前端安全
|
|
|
|
- **问题**: JWT Token 和 PII 明文存储
|
|
- **教训**: 敏感数据应仅存储于 HttpOnly Cookie
|
|
- **工具**: 可用 XSS Fuzzer 测试
|
|
|
|
### 2. 认证安全
|
|
|
|
- **问题**: 无暴力破解防护、弱验证码
|
|
- **教训**: 必须实施限速和账户锁定
|
|
- **工具**: 可用 web-brute.py 测试
|
|
|
|
### 3. TLS 安全
|
|
|
|
- **问题**: 使用过时的加密套件
|
|
- **教训**: 仅使用 AES-GCM 或 ChaCha20
|
|
- **工具**: 可用 tls-scanner.py 检测
|
|
|
|
### 4. 基础设施安全
|
|
|
|
- **问题**: 敏感端口对公网开放
|
|
- **教训**: 管理端口必须限制访问
|
|
- **工具**: 可用 port-scanner.py 扫描
|
|
|
|
## 相关工具应用
|
|
|
|
```bash
|
|
# 1. 端口扫描
|
|
python3 /Users/x/websafe/04-server-security/scanning/tools/port-scanner.py \
|
|
-H zfcg.czt.fujian.gov.cn --top-ports 100
|
|
|
|
# 2. TLS 检测
|
|
python3 /Users/x/websafe/04-server-security/tls/tools/tls-scanner.py \
|
|
-u https://zfcg.czt.fujian.gov.cn
|
|
|
|
# 3. XSS 测试 (仅测试环境)
|
|
python3 /Users/x/websafe/02-xss/tools/xss-fuzzer.py \
|
|
-u "https://zfcg.czt.fujian.gov.cn/search?q=test"
|
|
```
|
|
|
|
## 报告文件清单
|
|
|
|
| 文件 | 内容 |
|
|
|------|------|
|
|
| `security_assessment_report.md` | 完整安全评估报告 |
|
|
| `frontend_security_analysis.md` | 前端安全分析 |
|
|
| `backend_api_security_analysis.md` | 后端接口分析 |
|
|
| `infrastructure_and_password_security.md` | 基础设施分析 |
|
|
| `deep_penetration_test_report.md` | 深度渗透测试 |
|
|
| `privilege_escalation_report.md` | 提权攻击分析 |
|
|
| `vulnerability_crossref_report.md` | 漏洞交叉对照 |
|
|
| `full_guide_audit_report.md` | 全景审计报告 |
|
|
|
|
## 修复优先级
|
|
|
|
```
|
|
P0 (立即):
|
|
1. 封禁 Nacos 8848 端口公网访问
|
|
2. 禁用 RC4-MD5 密码套件
|
|
3. Token 迁移至 HttpOnly Cookie
|
|
4. OAuth 重定向强制 HTTPS
|
|
|
|
P1 (一周内):
|
|
5. 清除 sessionStorage PII
|
|
6. 配置 HSTS + CSP
|
|
7. 实施登录限速
|
|
8. 配置 SPF/DMARC
|
|
|
|
P2 (一月内):
|
|
9. 升级 jQuery
|
|
10. 缩短 Token 有效期
|
|
11. Actuator 移至内网
|
|
```
|
|
|
|
## 联系方式
|
|
|
|
本案例仅供安全研究和教育目的。未经授权对真实系统进行测试是违法行为。
|