SAML是一個基于XML的認(rèn)證和授權(quán)信息交換協(xié)議，它由結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）于2002年發(fā)布。SAML2.0版在2005年被OASIS批準(zhǔn)，如今已作為一項基礎(chǔ)身份協(xié)議在云服務(wù)、web應(yīng)用得到了廣泛支持。

SAML協(xié)議簡化了用戶、身份提供商和服務(wù)提供商的聯(lián)合身份驗(yàn)證和授權(quán)過程。但隨著其在實(shí)際場景中的應(yīng)用越發(fā)廣泛，可利用攻擊面數(shù)量也急速增長。

安全研究員發(fā)現(xiàn)了協(xié)議本身及協(xié)議實(shí)現(xiàn)存在多處風(fēng)險和漏洞，例如，攻擊者利用漏洞可以欺騙SAML系統(tǒng),在不知道其他用戶密碼的情況下以該用戶身份進(jìn)行認(rèn)證。

那么，SAML協(xié)議最易忽略的攻擊面有哪些？如何提升防御能力，保護(hù)SAML協(xié)議免受漏洞影響？

3月15日16點(diǎn)，中安網(wǎng)星御守實(shí)驗(yàn)室成員何云軒將帶來《無聲綻放的攻擊威脅——身份認(rèn)證協(xié)議攻防之道》第一場專題線上直播。基于豐富的實(shí)戰(zhàn)場景案例，為大家揭秘SAML協(xié)議頻頻被攻擊的背后真相。

直播詳細(xì)信息介紹

?直播主題：身份攻擊-SAML

?直播時間：2023年3月15日16：00-17：00

?內(nèi)容大綱：

1.SAML協(xié)議介紹

? ? ? SAML協(xié)議的作用

? ? ? SAML SSO認(rèn)證的流程

? ? ? SAML認(rèn)證中消息格式

2.SAML攻擊面

? ? ??SAML實(shí)現(xiàn)層面的攻擊面，XXE、XLST、簽名繞過等

? ? ? SAML認(rèn)證流程攻擊面（GOLDEN SAML）

3.SAML漏洞案例

? ? ??XXE

? ? ? ? ? CVE-2022-34716

??????XML Signature Wrapping

? ? ? ? ? XSW1-8

? ? ? XSLT

? ? ? ? ? CVE-2022-47966

? ? ? SAML邏輯漏洞

? ? ? ? ? CVE-2022-41912

?如何觀看：點(diǎn)擊鏈接https://live.bilibili.com/23482509或搜索房間號23482509進(jìn)入直播間~

?更多福利：除了分享干貨，直播結(jié)束后，我們將進(jìn)行福利抽獎。在參與直播的同學(xué)中抽出三名錦鯉送出??。歡迎大家進(jìn)入直播間交流互動~