SAML漏洞:不知你密码,也可合法登陆
Duo Labs和美国计算机紧急响应小组协调中心(CERT/CC)的安全研究人员今天将发布安全公告,详述一个新的SAML安全漏洞。漏洞隐患是,恶意攻击者可以在不知道受害者密码的情况下,以合法用户的身份来登录。
该漏洞影响SAML(安全声明标记语言),这种基于XML的标记语言常常用于在各方之间交换身份验证和授权数据。
SAML最重要的用途是用在单点登录(SSO)解决方案中,让用户只需使用一个身份就可以登录到多个帐户。不像其他共享身份验证方案,比如OAuth、OpenID、OpenID Connect和Facebook Connect-SSO,SSO将用户的身份存储在用户有帐户的中央服务器上。
用户试图登录到其他企业应用程序时,那些应用程序(服务提供者,SP)通过SAML向本地SSO服务器(身份提供者,IdP)发出请求。
XML注释处理机制引起的漏洞
在今天晚些时候发布的一份报告中,Duo Labs的研究人员披露了一个设计漏洞,该漏洞影响众多SSO软件和用来支持基于SAML的SSO操作的几个开源代码库。
漏洞根源是这些库处理插入到SAML响应请求当中的XML注释的方式有问题。比如说,研究人员注意到,如果攻击者以破坏用户名的方式将注释插入到用户名字段中,就可以访问合法用户的帐户。
SAML漏洞
攻击者要钻这个漏洞的空子,唯一的条件就是在受害者的网络上有一个注册帐户,那样才能查询SAML提供者,并伪造请求,“以诱骗SAML系统通过身份验证,以为攻击者是另一个合法用户。”
漏洞影响多家厂商和开源库
Duo Labs的研究人员表示,他们发现了容易受到这种攻击的多家SSO厂商和使用下列其中一个库来解析SAML基于XML的身份验证请求的厂商。
然而Duo Labs表示,这不是以同样的方式影响“所有”基于SAML的SSO提供者的漏洞。
Duo Labs的团队表示:“存在这个行为不好,但并非总是可以被利用。SAML[身份提供者]和[服务提供者]通常很易于配置,所以有很大的空间来扩大或减小影响。”
研究人员建议禁止公众注册敏感网络上的用户帐户,手动审查每个用户,从源头上避免攻击者在内部网络上注册帐户。
要是这一招不现实,网络管理员可以配置一份白名单,列入可接受的电子邮件地址域名,限制谁可以在网络上注册,不过这不是可靠的保护措施,决心已定的攻击者会找到规避方法。
如果帐户受到双因子验证(2FA)解决方案的保护,攻击不可能得逞。
最新消息:Duo Labs技术报告可在这里找到(https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations)。CERT/CC安全公告于今天晚些时候发布,敬请关注此链接(https://www.kb.cert.org/vuls/id/475445)。
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180302A000M100?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
