cda31e86c7
- 靶场环境: DVWA/WebGoat/Pikachu/BWAPP/SQLi-Labs/XSS-Labs - SQL注入工具: sqli-scanner.py, blind-sqli.py, sqli-exploit.go - XSS工具: xss-fuzzer.py, xss-scanner.go - 认证攻击: web-brute.py, jwt-cracker.py - 服务端安全: port-scanner.py, tls-scanner.py - 防御配置: nginx-hardening.conf - 案例研究: 福建政采网安全评估报告 (13份) - 同步脚本: sync-gitea.sh
2.8 KiB
2.8 KiB
衍生服务独立安全分析报告
一、衍生端口清单与状态
经过针对福建省政府采购网系统关联的三大核心 IP 节点进行详尽的端口和服务扫描,汇总外部衍生服务端点现状如下:
| 节点 | 归属网段 | 暴开衍生端口 | 服务指纹识别 | 访问状态 |
|---|---|---|---|---|
112.54.45.252 |
移动线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
120.35.30.176 |
电信线路主站 | 8080 | OpenResty HTTP 代理 | HTTP 404 |
114.115.172.176 |
华为云签章辅助 | 8080 | 纯 TCP Socket / 轻HTTP | 无内容 404 |
注:除了以上非标 Web 端口,各个 IP 均正常暴露 80/443(标准业务入口),且在纯 TCP 探测阶段也呈现 21, 22, 23 等常见管理端口的应答(底层系统或路由器屏蔽反馈过滤阶段)。
二、8080 端口深度安全分析
1. 业务逻辑层探测 (Fuzzing)
针对 8080 端口执行了常见的目录爆破和敏感路径枚举,包含但不限于:
/login, /admin, /api, /gateway, /actuator, /actuator/health, /swagger-ui.html, /.env 等。
结论:三个 IP 上针对上述所有常见攻击路径全部返回 404 Not Found(112.x/120.x 由 OpenResty 拦截抛出,114.x 直接截断)。
2. 威胁评估
虽然当前通过 8080 端口没有发现诸如由于未授权访问直接接管 SpringBoot Actuator 监控或者 Swagger UI 接口泄露的问题,但 8080 端口直接向互联网开放本身即是严重的架构违规:
- 隐藏服务暴露:后端可能通过 Header 路由或特定内部
/internal路径分发到了对应的漏洞组件。外部攻击者可以直接避开前端业务逻辑和 Web 应用防火墙(WAF,若部署在 80/443 接入端)。 - 拒绝服务风险 (DoS):攻击者可以绕过正常的 443 流控,直接对后端的 8080 内置反代服务器甚至 Tomcat/Node 容器发起资源消耗型攻击。
- 华为云节点缺陷:
114.115.172.176作为电子签章(Kinggrid)下发等服务承载点,如果它的 8080 后台管理(如签章授权管理端)未来配置变动导致页面放开,将面临电子印章系统失窃的核弹级大患。
三、修复措施与闭环建议
- 严格的访问控制列表 (ACL):
- 使用云服务安全组(华为云主机)或各机房防火墙,立即将
112.54.45.252、120.35.30.176、114.115.172.176的8080端口对 所有公网 (0.0.0.0/0) 进行阻断(DROP/REJECT)。 - 如果 8080 端口确实需要给上游监控系统(如 Prometheus)或其他委办局拉取数据,必须绑定 IP 白名单策略接入。
- 使用云服务安全组(华为云主机)或各机房防火墙,立即将
- 深度内部审计:排查并确认 8080 后面挂载的真实进程组件(可能为测试用途的临时 Tomcat 或者其他非预期部署)。