SAML's signature problem: It's not you, it's XML
a year ago
- #XML DSIG
- #Security
- #SAML
- SAML的签名验证由于XML数字签名(XML DSIG)的复杂性而存在问题。
- 常见问题包括引用混淆、规范化不匹配、签名包装攻击和模式验证失效。
- 引用混淆发生在多个元素具有相同ID或没有ID时,导致元素验证错误。
- 规范化不匹配是指发送方和接收方使用不同的XML标准化方法,造成验证失败。
- 签名包装攻击通过注入有效签名的断言与未签名的断言结合,诱骗应用程序使用错误数据。
- 模式验证失效或缺失可能允许畸形XML结构,导致XXE攻击等漏洞。
- 安全的SAML验证最佳实践包括严格的引用验证、规范化处理、模式验证和使用可信库。
- 尽管存在挑战且面临OIDC等现代协议的崛起,SAML在企业身份系统中仍被广泛使用。