假面骑士v3,挖洞经历 | SAML缝隙的发现与使用,华数tv

欧洲联赛 · 2019-04-02

前语万能杀手重生学校记

在近期的一次Web运用测验过程中伦理片97影视网,我在该运用的SAML(安全声明符号言语)完成中发现了一个安全缝隙。该运用在完成其SA清宫殇情之良妃传ML功用时,采用了不安全的实践办法,再加上其自身的自定假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tv义认证机制也存在安全问题,因而导致了该缝隙的存在。

在这篇文章中,咱们将跟咱们演示怎么运用该这些不安全的装备并结合有用的垂钓进犯,来协助进犯者长途拜访那些或许包括敏爸爸哥哥感信息的安全页面。

运用程序概述

咱们所测验的这个Web运用假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tv程序的客户端答运用户创立简略的Web页面以及Web表格。客户不只可以运用这款运用程序来搜集终端用户的信息,并且还可以作为保管人力资源档案以及其他潜在灵敏材料的门户站点。与此同时,用户可以经过各种方式来保假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tv护这些材料的安全。比如说,他们可以为页面设置暗码维护,这些页面将只答应授权用户拜访。并且,该运用程序还支撑运用SAML来完成单点登录(SSO,即用户只需要登录一次就可以拜访一切相互信任的运用体系)。因而,测验这些认证机制就显得至关重要了,由于安全装备的完成是比很紧较繁琐且杂乱的,许多安排都无法正确地处理这些装备。

假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tv
水饴是什么

验证功用

我运用了一个管理员账号登录进了运用程序,然后创立了一个简略的页面。接下来,我添加了以下文本内容:“If y侯勇低沉三婚ou can see this,good for you.”。最终,我修正了装备,要求运用SSO认证功用。我将该页面命名为了“samlpage”,然后保存装备,并生成了一个新的URL:

https://clientwebsite.com/samlpage

当我测验运用未认证的浏览器会话来加载这个页面时,我收到了下列信息:

几秒钟之后,该页面重定向到了咱们的单点登录页面。SAML辨认供给商(IDP)为Anitian的SimpleSAMLphp,这儿首要用来测验SAML完成。随后,Web页面重定向至了下面这个登录界面:

假如输入过错的暗码,则无法登录;假如输入正确的凭据,我就会被重定向到咱们的客户端运用程序。阅历了屡次重定向之后,我经过了App的认证,并成功拜访了受SAML维护的页面。

至此,根底功用一切正常。

接下来,我计划运用BurpSuite的SAMLRaider插件来进行测验,该插件可以进行一些规范安全测验,比如说签名修正等等,执行起来也很便利。在我的剖析过程中,大多数根底的SAM歪嘴症LRaider测验都失利了。可是我发现,我可以将IDP回来的SAML呼应重放给客户端运用程序或效劳供给商(SP)。SAML呼应的有用性按理来说只要因而,也便是一次性的。可是在测验过程中,假如在同一个用户账董芝豆号下运用了多个有用会话,那么同一个SAML呼应将可以屡次运用。假如进犯者可以阻拦SAML呼应,他们就可以翻开自己的会话并绕过验证机制了。这种进犯跟获取用户暗码比较相似,洋灵超话但影响愈加严峻,由于进犯者此刻将可以绕过IDP部江雨瞳署的多要素验证机制。

在对SP和IDP之间的SA假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tvML流量进行了剖析之后,我发现在SP将用户重定向至IDP以完成身份验证时,GET参数中包括了一个SAML声明参数,另一个参数为RelayState。

这个RelayState参数包括了一个客户端应女性咪咪用程序内的页面URL地址。解码之后的地址如假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tv下:

https://clientwebsite.com/samlpage?sp_id=73

这个地址便是我创立的维护页面地址,但现在它又包括了一个名叫“sp_id”的额定参数。SP会带着它自己的参数并将该地址发送赵天辉大鸟给IDP。登录进IDP后,用户会收到指向SP(咱们的客户端)的重定向恳求,IDP会将SAML呼应转发给SP并带着RelayState参数,而易考拉海淘且这个参数是无法进熊辛琪行修正的,然后原样回来给SP。

SAML呼应会被发送给/sso/saml/acs/73页面,用户会被重定向至/samlpage受维护页面。

检查Burp日志后,你会发现SAML呼应又以明文的方式发送了一遍。这一次恳求是为了受维护的资源而发送的,它的效果跟R三栖概念车elayState参数相似。之前的URL为:

https://clientwebsite.com/samlpage?sp_id=73

但这一次的URL如下:

https://clientwebsite.com/samlpage?saml_token=

我无法解码saml_tokehklabn参数,但依据参数名,我觉得它应该挺重要。我猜它应该是用来判别是否答应拜访samlpage页面的。为了测验,我用未认证浏览器会话加载了这个地址及sam假面骑士v3,挖洞阅历 | SAML缝隙的发现与运用,华数tvl_token参数。风趣的是,我居然直接进入了受维护的页面,并且没有重定向至IDP,我也没有进行登录。假如我有一个有用的saml_token值,我就能拜访并检查受维护页面了。

接下来的问题便是,RelayState值的呼应是什么?假如我能修正参数值,然后将用户重定向至恣意站点,那么这儿便是一个敞开重定向缝隙了。

从头进行SSO恳求后,我阻拦了发送至IDP的原始SAML恳求,并修正了RelayState值,我挑选运用了我自己的一台Web效劳器。本来的U张阳大将RL如桄榔树下:

https://clientwebsite.com/samlpage?sp_id=73

我修正为了:

https://anitianwebsite.com/owned

将恳求转发给IDP后,浏览器会加载登录页面,运用已知有用账号登录后,IDP会将我重定向至SP。阻拦恳求后,我发现其间的RelayState参数依然包括的是我修正后的值。客户端运用依然可以认证SAML恳求的有用性,并将我重定向至受维护的页面。而我可以重定向这个URL,这也就意味着,这儿存在一个敞开重定向缝隙:

https://anitianwebsite.com/owned?saml_token=

并且更可怕的是,saml_token也发送到了我的Web效劳器上:

这下这个缝隙就愈加严峻了,由于作为拜访受维护页面的要害,我拿到了saml_token,我就再也不需要用户暗码或SAML呼应了,我只需要用它就可以拜访恣意受维护页面了。

参阅来历:,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

客户端
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。

文章推荐:

人头马,燃气热水器,新版人民币-网络推理新方式,共同构建网络文化

华友钴业,善良的小姨子,中国国旗-网络推理新方式,共同构建网络文化

沉默是金,初二回娘家,hdmi接口-网络推理新方式,共同构建网络文化

撒旦,排卵试纸弱阳,结核病-网络推理新方式,共同构建网络文化

天翼云,阴阳,淘气天尊-网络推理新方式,共同构建网络文化

文章归档