SAML漏洞：不知你密碼，也可合法登陸

Duo Labs和美國計算機緊急響應小組協調中心（CERT/CC）的安全研究人員今天將發布安全公告，詳述一個新的SAML安全漏洞。漏洞隱患是，惡意攻擊者可以在不知道受害者密碼的情況下，以合法用戶的身份來登錄。

該漏洞影響SAML（安全聲明標記語言），這種基於XML的標記語言常常用於在各方之間交換身份驗證和授權數據。

SAML最重要的用途是用在單點登錄（SSO）解決方案中，讓用戶只需使用一個身份就可以登錄到多個帳戶。不像其他共享身份驗證方案，比如OAuth、OpenID、OpenID Connect和Facebook Connect-SSO，SSO將用戶的身份存儲在用戶有帳戶的中央伺服器上。

用戶試圖登錄到其他企業應用程序時，那些應用程序（服務提供者，SP）通過SAML向本地SSO伺服器（身份提供者，IdP）發出請求。

XML注釋處理機制引起的漏洞

在今天晚些時候發布的一份報告中，Duo Labs的研究人員披露了一個設計漏洞，該漏洞影響眾多SSO軟體和用來支持基於SAML的SSO操作的幾個開源代碼庫。

漏洞根源是這些庫處理插入到SAML響應請求當中的XML注釋的方式有問題。比如說，研究人員注意到，如果攻擊者以破壞用戶名的方式將注釋插入到用戶名欄位中，就可以訪問合法用戶的帳戶。

SAML漏洞

攻擊者要鑽這個漏洞的空子，唯一的條件就是在受害者的網路上有一個註冊帳戶，那樣才能查詢SAML提供者，並偽造請求，「以誘騙SAML系統通過身份驗證，以為攻擊者是另一個合法用戶。」

漏洞影響多家廠商和開源庫

Duo Labs的研究人員表示，他們發現了容易受到這種攻擊的多家SSO廠商和使用下列其中一個庫來解析SAML基於XML的身份驗證請求的廠商。

然而Duo Labs表示，這不是以同樣的方式影響「所有」基於SAML的SSO提供者的漏洞。

Duo Labs的團隊表示：「存在這個行為不好，但並非總是可以被利用。SAML[身份提供者]和[服務提供者]通常很易於配置，所以有很大的空間來擴大或減小影響。」

研究人員建議禁止公眾註冊敏感網路上的用戶帳戶，手動審查每個用戶，從源頭上避免攻擊者在內部網路上註冊帳戶。

要是這一招不現實，網路管理員可以配置一份白名單，列入可接受的電子郵件地址域名，限制誰可以在網路上註冊，不過這不是可靠的保護措施，決心已定的攻擊者會找到規避方法。

如果帳戶受到雙因子驗證（2FA）解決方案的保護，攻擊不可能得逞。

最新消息：Duo Labs技術報告可在這裡找到（https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations）。CERT/CC安全公告於今天晚些時候發布，敬請關注此鏈接（https://www.kb.cert.org/vuls/id/475445）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！