来自 CC防护 2021-06-10 07:07 的文章

服务器防御_步步高vivox9防摔外壳_无缝切换

2018年2月27日,卡内基梅隆大学软件工程学院的CERT部门发布了一份咨询报告#475445,概述了安全断言标记语言(SAML)实现中的一个设计缺陷,该缺陷影响了各种单点登录(SSO)软件和多个旨在支持基于SAML的SSO操作的开源库。对于服务提供商来说,更不易受此漏洞影响的应用程序,请单击此处。被披露的漏洞引起了媒体的广泛关注,引起了诸如ZDNet、eWeek和TechTarget等技术发布者的报道。你们中的一些人可能会问为什么有这么多关于这个漏洞的宣传。要回答这个问题,您必须了解SAML在用户身份验证和授权上下文中的重要性。什么是SAML对许多人来说,SAML可能只是安全字母表中的另一个缩写。然而,ddos防御windows,SAML是一个开放标准,允许多台计算机在网络上共享安全凭据。在这种情况下,这是实现SSO的一种方法,它允许用户使用单一身份登录帐户。到目前为止,SSO是SAML最常见的用例。SAML的工作原理使用基于SAML的SSO时,涉及三个不同的参与方。有一个用户(所谓的主体)、一个身份提供者(IdP)和一个云应用服务提供者(SP)。IdP将用户的信息存储在类似activedirectory的数据库中。用户连接到SP并尝试进行身份验证。如果SP识别用户名,它将身份验证委托给IdP。随后,IdP根据其身份数据库验证用户。然后,它向SP发送关于该用户的SAML断言。然后,高防CDN对接,SP授予用户对应用程序的访问权限。图1:基于SAML的SSO的简化概述在SAML中,一个IdP可以向多个sp提供SAML断言。类似地,一个SP可能依赖并信任来自多个独立idp的断言。SAML本身没有指定IdP的身份验证方法;它可以使用用户名和密码,或者其他形式的身份验证,包括多因素身份验证。SAML的好处SAML使用签名的数字证书和公钥基础设施(PKI)交换安全和身份相关的信息,如授权和身份验证,以确保数据的完整性。SAML消除了密码被盗/重用的可能性,从而提高了安全性。因为它基于一个开放的标准,SAML可以与许多不同的SPs进行互操作。SAML漏洞的影响新发现的SAML漏洞允许已通过身份验证访问SSO系统的威胁参与者作为另一个用户进行身份验证,而无需此人的SSO密码。例如,用户可以通过仿冒身份验证从系统获取SSO响应。然后,攻击者可以更改基于SAML的响应,以完全不同的用户身份登录。请注意,攻击者利用此漏洞的唯一条件是在受害者的网络上有一个注册帐户,这样它就可以查询SAML提供者并伪造请求,诱使SAML系统以不同的用户身份进行身份验证。要采取的行动如果使用基于SAML的SSO,则应遵循以下准则:请检查证书供应商信息,ddos防御程序,以验证您可能使用的任何解决方案(idp和SPs都一样)是否受到该漏洞的影响。禁用敏感网络上用户帐户的公开注册,并手动审查每个用户,以避免攻击者首先在内部网络上注册帐户。或者,集群防御cc,请您的网络管理员配置一个接受电子邮件地址域名的白名单,以限制谁可以在网络上注册。然而,这不是一个可靠的保护措施,一个坚定的攻击者会找到一个绕过它的方法。启用双因素甚至多因素身份验证,从而阻止攻击。零信任安全中心化在Centrify中,我们不仅鼓吹零信任安全性(即从不信任,总是验证),更重要的是,我们也将这种方法应用到我们的开发实践中。因此,Centrify客户可以放心,这个新的SAML漏洞不会影响Centrify的任何解决方案,包括Centrify针对开发人员的SDK。实际上,如果SP支持,则可以配置中心化应用程序服务来完全加密断言,腾讯云cdn能防御ddos么,以提供进一步的安全性。