エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
SSO(SAML)の実装と攻撃例 - ぶるーたるごぶりん
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
SSO(SAML)の実装と攻撃例 - ぶるーたるごぶりん
はじめに SAML関連で診断をすることになったが、やんわりとした知識しかないため、 SAMLの攻撃事例を読... はじめに SAML関連で診断をすることになったが、やんわりとした知識しかないため、 SAMLの攻撃事例を読んでそれをざっくりまとめる。 認証フローなどはネットに軽い奴がまとまっているのでそれらを参考に読むと良いのかも? ※2018/11/22 事例を1つ追加 ( XMLのコメントアウトを利用した認証バイパス の章) 思いつく攻撃 XMLをアップロードするのでそこでXML外部エンティティ参照とかがあるのかも? あとはアプリケーション自体がXMLファイルからidP(Identity provider、所謂認証サーバ?)へ認証リクエストを送るから そこを利用してSSRFなどのイントラネットへのリクエストが送れるかも? 上記2つはどちらかというと認証に対する攻撃とは別なので、認証部分の攻撃については 後述する事例で見ていく。 事例とざっくりまとめ SAML + HackerOne とかでググって引