首页 微博热点正文
平和气候

前语

在近期的一次Web运用测加勒比女试过程中,我在该运用的SAML(安全声明符号言语)完成中发现了一个安全缝隙。该运用在完成其SAML功用时,采用了不安全的实践办法,再加上其自身的自定义认证机制也存在安全问题,因而导哔嘀影视致了该缝隙的存在。

在这篇文章中,咱们将跟咱们演示怎么运用该这些不安全的装备并结合有用的垂钓进犯,来协助进犯者长途拜访那些或许包括灵敏信息的安全页面。

运用程序概述

咱们所测验的这个Web运用程序的客户端答运用户创立简略的Web页面以及Web表格。客户不只偷心小猫猫可以运用这款运用程序来搜集终端用户的信息,并且还可以作为保管人力资源档案以及其他潜在灵敏材料的门户站点。与此同时,用户可以经过各种方式来维护这些材料的安全。比如说,他们可以为页面设置暗码维护,这些页面将只大叔的幸福生活答应授权用户拜访。并且,该运用程序还支撑运用SAML来完成单点登录(SSO,即用户只需要登录一次就可以拜访一切相互信任的运用体系)。因而,测验这些认证机制就显得至关重要了,由于安全装备的完成是比较繁琐手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天且杂乱的,许多安排都无法正确地处理这些装备。

怀集佛甘村
父亲的朋友

验证功用

爱情天梯在哪里

我运用手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天了一个管理员账号登录进了运用程序,然后创立了一个简略的页面。接下来,我添加了以下文本内容:“If you can se成人游戏e this,good for you.”。最终,我修正了装备,要求运用SSO认证功用。我将该页面命名为了“samlpage”,然后保存装备,并生成了一个新的URL:

https://clientwebsite.com/samlpage

当我测验运用未认证的浏览器会话来加载这个页面时,我收到了下列信息:

几秒钟之后,该页面重定向到了咱们的单点登录页面。SAML辨认供给商(IDP)手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天为Anitian的SimpleSAMLphp,这儿主手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天要用来测验SAML完成。随后,Web页面重定向至了下面这个登录界面:

假如输入过错的暗码,则无法登录;假如输扩组词入正确的凭据,我就会被重定向到咱们的客户端运用程序。阅历了屡次重定向之后,我经过了App的认证,并成功拜访了受SAML维护的页面。

至此,根底功用一切正常。

接下来,我计划运用Bur高炳修pSuite的SAMLRaider插件来进行测验,该插件可以进行一些规范安全测验,比如说签名修正等等,执行起来也很便利。在我的剖析过程中,大多数根底的SAMLRaider测验都失利了。可是我发现,我可以将IDP回来的SAML呼应重放给客户端运用程序或效劳供给商(SP)。SAML呼应的有用性按理来说只要因而,也便是一次性的。可是在测验过程中,假如在同一个用户账号下运用了多个有用会话,那么同一个SAML呼应将可以屡次运用。假如进犯者可以阻拦SAML呼应,他们就可以翻开自己的会话并绕过验证机制了。这种进犯跟获取用户暗码比较相似,但影响愈加严峻,由于进犯者此刻将可以绕过IDP布置的多要素验证机制。

在对SP和IDP之间的SAML流量进行了剖析之后,手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天我发现在SP将用户重定向至IDP以完成身份验证时,GET参数中包括了一个SAML声明参数,另一个参数为RelayState。

这个RelayState参数包括了一个客户端运用程序内的页面URL地址。解码之后的地址如下:

https://clientwebsite.com/samlpage?sp_id=73

这个地址便是我创立的维护页面地址,但现在它又包括了一个名叫手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天“sp_id”的额定参数。SP会带着它自己的参数并将该地址发送给IDP。登录进ID漏乳P后,用户会收到指向SP(咱们的客户端)的重定向恳求,IDP会将SAML呼应转发给手机铃声下载,挖洞阅历 | SAML缝隙的发现与运用,南京气候预报15天SP并带着RelayState参数,并且这个参数是无法进行修正的,然后原样回来给SP。

SAML呼应会被发送给/sso/saml/听云轩生意惨白acs/73页面,用户会被重定向至/samlpage受维护页面。

检查Burp日志后,你会发现SAML呼应又以明文的方式发送了一遍。这一次恳求是为了受维护的资源而发送的,它的效果跟RelayState参数相似。之前的URL为:

https://clientwebsite.com/samlpage?sp_id=73

但这一次的URL如下:

https://clientwebsite.com/samlpage?saml_token=

我无法解码saml_token参数,但依据参数名,我觉得它应该挺重要。我猜它应该是用来判别是否答应拜访samlpage页面的。为了测验,我用未认证浏览器会话加载了这个地址及saml_token参数。风趣的是,我居然直接进入了受维护的页面,并且没有重定向至IDP,我也没有进行登录。假如王局志安我有一个有用的saml_token值,我就能拜访并检查受维护页面了。

接下来的问题便是,RelayState值的呼应是什么?假如我能修正参数值,然后将用户重定向至恣意站点,那柯震东终身禁演令么这儿便是一个敞开重定向缝隙了。

从头进行SSO恳求后,我阻拦了发送至IDP的原始SAML恳求,并修正了Rela眼镜蛇11焚烧轿车yState值,我挑选运用了我自己的一台Web效劳器。本来的URL如下:

https://clientwebsiguagnte.co性感受m/samlpage?sp_id=73

我修正为了:

https://anitianwebsite.com/owned

将恳求转发给IDP后,浏览器会加载登录页面,运用已知有用账号登录后,IDP会将我重定向至SP。阻拦恳求后,我发现其间的RelayState参数依然包括的是我修正后的值。客户端运用依然可以认证SshowryAML恳求的有用性,并将我重定向至受维护的页面。而我可以重定向这个URL,这也就意味着,这儿存在一个敞开重定向缝隙:

https://anitianwebsite.com/owned?saml_token=

并且更可怕的是,saml_token也发送到了我的Web效劳器上:

这下这个缝隙就愈加严峻了,由于作为拜访受维护页面的要害,我拿到了saml_token,我就再也不需要用户暗码或SAML呼应了,我只需要用它就可以拜访恣意受维护页面了。

参阅来历:,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

客户端
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。