震惊!强生两款Web应用程序现漏洞,近1000学生信息泄露,20家公司内部审计系统被接管
#1校园招聘系统今天我将揭露在两款截然不同的强生公司Web应用程序中发现的漏洞。一个是大学校园招聘系统中的漏洞该漏洞暴露了近1000名学生的详细信息另一个是对20家公司使用的内部审计系统的管理员权限接管。下面让我们一探究竟强生公司喜欢参加大学校园里的招聘会和招聘活动来挖掘新人才为此搭建了“校园招聘”网站管理这些活动。学生会获得一个活动密钥并用它来提交个人信息。查看该网站的底层代码会发现一些有趣的招聘人员专用私密路径。访问“/recruiter”时会被重定向到微软单点登录SSO页面表明该网站这部分仅限强生公司员工访问。其认证设置简单[微软认证库MSAL](https://learn.microsoft.com/en-us/entra/identity-platform/msal-overview)被集成到前端负责确保员工已登录。我常用篡改MSAL让其始终认为有人已登录的客户端技巧来暴露不安全Web应用程序若底层API没正确使用令牌此方法能快速发现问题。在这个案例中我修改MSAL代码让它始终返回一个“已登录”账户的详细信息。修改完成后招聘人员专用的私密路径就能访问了可管理活动、创建新活动还能查看所有学生的信息招聘人员仪表盘能看到对特定面试学生的评分和评价。实际上MSAL令牌根本没被使用他们用硬编码的API密钥对其AWS API进行身份验证。近1000名学生受到了影响。此后校园招聘网站已更新将API密钥认证替换为承载令牌MSAL认证。#2审计跟踪管理系统审计跟踪管理系统ATMS是一个内部Web应用程序用于协助强生公司及其关联公司管理审计工作关联公司包括利时美LifeScan、爱惜康公司Ethicon, Inc等20家公司。与校园招聘系统相比进入这个系统需要多花些功夫。访问该网站时会立即被重定向到微软SSO登录页面在此之前会下载ReactJS应用程序并且能找到许多有趣的API。我访问“getAllUsers”API它返回了一份包含13600名强生公司员工的列表这表明所有API都未进行身份验证只需篡改客户端代码就能完全访问所有内容。认证代码和校园招聘系统一样使用MSAL通过微软SSO对用户进行身份验证然后将一些值存储到本地存储中没有迹象表明它使用了承载令牌。为成功模拟用户登录我需要找到一个使用该系统的有效强生公司员工的用户名和WWID最好是权限较高的员工。我在帮助页面上找到了系统管理员的详细信息在“getAllUsers”API中搜索该姓名找到了所需信息并编写了一个补丁。这个补丁阻止了登录重定向并将硬编码的值存储到本地存储中就好像刚刚进行了一次有效登录一样。点击“确定”并非解决办法还得继续研究代码。创建会话的代码是一个对API的GET请求该API返回一个会话GUID并设置一个时间戳用于计算会话的过期时间。访问该API后它返回了一个有效的会话ID我手动输入这个会话ID和一个有效的时间戳刷新页面后成功进入了系统。可以使用下拉菜单在不同公司之间切换作为管理员还能访问一个特殊菜单。我对该系统的探索就到此为止这个系统里可能装满了机密信息和会议记录甚至还有来自俄罗斯的相关内容。由于各种保密警告我选择不在这里展示任何内部会议记录或文本内容。额外发现他们使用了一种相当简单的客户端加密方案来隐藏一些秘密值。具有讽刺意味的是如果这样的代码被公开那么这个审计系统似乎自己都没有接受过审计。时间线我上一次向强生公司报告安全漏洞是在[2024年](https://eaton-works.com/2024/05/16/jnj-mobility-hack/)当时他们立即采取了行动合作起来十分愉快。这次报告这两个漏洞时体验就没那么好了。这两个漏洞都是在2025年10月报告给他们的。到月底校园招聘系统的漏洞已经修复。然而ATMS系统的漏洞却一直没有得到处理。我持续跟进了几个月直到2026年4月我请一位记者朋友帮忙推动此事。他给强生公司媒体关系部门的邮件最终促使他们修复了这个漏洞让人费解的是居然需要媒体介入才能解决可能会发生的严重内部数据泄露问题。完整时间线如下- **2025年10月6日**向[强生公司漏洞报告计划](https://www.jnj.com/coordinated-vulnerability-disclosure-statement)报告。- **2025年10月16日**在未收到回复和未采取行动的情况下进行跟进。- **2025年10月17日**收到强生公司的首次回复确认将调查这些发现。- **2025年10月31日**校园招聘系统漏洞修复我询问ATMS系统的情况。- **2025年11月17日**在ATMS系统未收到回复和未采取行动的情况下进行跟进。- **2025年12月22日**在ATMS系统未收到回复和未采取行动的情况下进行跟进。- **2026年1月22日**在ATMS系统未收到回复和未采取行动的情况下进行跟进。- **2026年4月8日**联系记者。- **2026年4月21日**ATMS系统漏洞最终修复。- **2026年6月24日**发布本文。强生公司这次的表现不太理想与2025年相比他们在2024年处理漏洞时似乎更有效率。我希望他们能解决这个过程中出现的问题让我能再次体验到2024年那样出色的报告处理流程。订阅新文章每当有新文章发布时你将收到邮件通知。
