SAML是一个基于XML的认证和授权信息交换协议,它由结构化信息标准促进组织(OASIS)于2002年发布。SAML2.0版在2005年被OASIS批准,如今已作为一项基础身份协议在云服务、web应用得到了广泛支持。
SAML协议简化了用户、身份提供商和服务提供商的联合身份验证和授权过程。但随着其在实际场景中的应用越发广泛,可利用攻击面数量也急速增长。
安全研究员发现了协议本身及协议实现存在多处风险和漏洞,例如,攻击者利用漏洞可以欺骗SAML系统,在不知道其他用户密码的情况下以该用户身份进行认证。
那么,SAML协议最易忽略的攻击面有哪些?如何提升防御能力,保护SAML协议免受漏洞影响?
3月15日16点,中安网星御守实验室成员何云轩将带来《无声绽放的攻击威胁——身份认证协议攻防之道》第一场专题线上直播。基于丰富的实战场景案例,为大家揭秘SAML协议频频被攻击的背后真相。
身份攻击-SAML
2023年3月15日16:00-17:00
1.SAML协议介绍
SAML协议的作用
SAML SSO认证的流程
SAML认证中消息格式
2.SAML攻击面
SAML实现层面的攻击面,XXE、XLST、签名绕过等
SAML认证流程攻击面(GOLDEN SAML)
3.SAML漏洞案例
XXE
CVE-2022-34716
XML Signature Wrapping
XSW1-8
XSLT
CVE-2022-47966
SAML逻辑漏洞
CVE-2022-41912
✦
✦
点击链接https://live.bilibili.com/23482509
或搜索房间号23482509进入直播间~
除了分享干货,直播结束后,我们将进行福利抽奖。
我们会在参与直播的同学中抽出三名锦鲤送出🎁。欢迎大家进入直播间交流互动~
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...