从你的文章中我了解到该系统使用UserMap的认证方式进行认证，此方案采用 “外部系统用户与GS用户建立对于关系” 的认证方式，需要提供外部系统用户编号和身份凭据，如果能匹配到CS用户，就认证通过。 但是该系统貌似不需要身份凭据（例如用户名和密码），只需要用户名就可以实现认证，这种设计使得攻击者只需要知道有效的用户名，即可绕过密码验证，直接访问GS系统。这将导致以下潜在问题： 用户名枚举：攻击者可以通过遍历用户名的方式，逐个尝试登录，从而获得有效账户的列表。这为其他恶意攻击提供了有价值的信息，例如用于进行密码猜测或其他针对特定用户的攻击。 未经授权访问：任何知道有效用户名的人都可以访问GS系统，无需提供正确的密码。这将导致未经授权的用户获取到敏感数据、执行非法操作或滥用系统权限的风险。 为了解决这个问题，强烈建议在系统中引入密码认证机制，并要求用户提供有效的用户名和相应的密码。这样可以确保只有经过验证的用户才能访问GS系统，并增加系统的安全性。 同时，建议联系浪潮公司或相关供应商，向他们报告这个安全问题，并寻求他们的建议和支持来修复或升级系统，以加强用户认证和保护系统免受未经授权的访问。

已复现，感谢分享。