伊顿 • 2026年6月24日 今天我将揭示我在两款截然不同的强生网络应用程序中发现的漏洞。一个是校园招聘系统中的漏洞，暴露了近1000名学生的详细信息，另一个是对20家公司使用的内部审计系统的管理员接管。让我们深入探讨一下！ #1: 校园招聘 你知道那种校园职业博览会和招聘活动吗？强生喜欢参加这些活动来寻找新人才。他们建立了一个“校园招聘”网站来管理这些活动：学生会获得一个事件密钥，并使用它提交他们的信息：没有什么特别令人兴奋的……直到你查看网站的底层代码，在那里你可以找到一些有趣的私人招聘者路径！当你访问“/recruiter”，你会被重定向到微软SSO登录页面，这确认该部分网站仅限强生员工访问：身份验证设置非常简单。微软身份验证库（MSAL）集成到前端，负责确保用户已登录：我常用来暴露不安全网络应用程序的一个客户端技巧是破解MSAL，让它总是认为某人已登录。如果有底层API没有正确使用该令牌，这有助于快速发现此类问题。在这种情况下，我所需要做的就是修改MSAL代码，让它总是返回一个“已登录”账户的详细信息：完成后，私人招聘者路径就可以访问了。你可以管理所有活动、创建新活动，并查看所有学生的信息。招聘者仪表板还让你查看他们对特定学生的评分和面试笔记：出了问题：MSAL令牌实际上没有在任何地方使用。相反，使用了硬编码的API密钥来验证其AWS API：近1000名学生受到影响。校园招聘网站已更新，以用Bearer令牌（MSAL）身份验证替换API密钥身份验证。 #2 审计跟踪管理系统 审计跟踪管理系统（ATMS）是一个内部网络应用程序，旨在帮助管理强生及其相关公司的审计：LifeScan, Ethicon, Inc, Biosense Webster, ITS, Depuy, Ethicon-Endo, Janssen, Vistakon, Acclarent, JDx, Sterilmed, CLS, JJSV, Cerenovus, EQ, Janssen英伦地区, RAD, Abiomed Inc, CQ MedTech, V-Wave。这比校园招聘需要更多的工作。访问该网站时，你会被重定向到微软SSO登录页面。在此之前，ReactJS应用程序被下载，并且可以找到许多有趣的API：我决定访问“getAllUsers”API看看会发生什么。它返回了13600名强生员工的列表：这非常重要，因为它表明所有API都是未经身份验证的，只需稍微修改客户端代码，就可以完全访问所有内容。这是身份验证代码的样子。与校园招聘一样，它使用MSAL通过微软SSO验证用户，然后设置一些值到本地存储中。没有迹象表明它使用Bearer令牌，这对我们来说是好事！为了让用户伪造正常工作，我需要找到一个有效的强生员工的用户名和WWID，最好是拥有许多权限的那种。我发现了帮助页面，给了我系统管理员的详细信息：在getAllUsers API中搜索该名称时，显示了我所需的信息，并设计了一个补丁：这阻止了登录重定向，并将硬编码的值设置到本地存储中，仿佛刚刚进行了有效的登录。这导致出现了一些新内容：点击“确定”并不是解决方案。我们再次进入代码……那是创建会话的代码。它只是向一个API发出GET请求，返回一个会话GUID，并设置一个时间戳以便计算其过期时间。访问该API时，它返回了一个有效的会话ID：然后我手动输入了一个有效的时间戳……刷新后，我进入了！你可以使用下拉菜单在公司之间切换：作为管理员，我可以访问一个特殊菜单：这大致就是我探索的范围。该系统充满了假定的机密信息和记录。即使是来自俄罗斯的记录。由于各种保密警告，我选择不在这里显示任何内部会议记录或记录。 额外内容：他们使用了一种相当简单的客户端加密方案来试图掩盖一些秘密值。讽刺的是，如果这种代码被发布出来，这审计系统似乎从未自己接受过审计。 时间线 我上一次向强生报告安全漏洞是在2024年。当时的经历非常出色——他们立即采取了行动，合作非常愉快。快进到报告这两个漏洞时，体验则不那么积极。这两个漏洞在2025年10月报告给他们。在月底之前，他们已经解决了校园招聘漏洞。