Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 2
Почему при интеграции SAML важно не просто проверять наличие подписи в ответе, а именно её корректность? И как это может повлиять на безопасность авторизации в моём приложении?
Если коротко, то наличие подписи говорит только о том, что «что-то» было подписано.
Корректная подпись доказывает, что именно тот фрагмент, который вы собираетесь доверить, кем-то уполномоченным подписан и не искажён. Игнорируя эту разницу, Вы превращаете SAML-SSO в открытую дверь: один неправильно проверенный байт — и злоумышленник авторизуется как администратор или любой другой пользователь.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DASTing SAML: Breaking Trust, One Assertion at a Time