是否有安全资源/博客文章展示了 ADFS 2.0(或通用 SSO)与OWASP - 十大漏洞列表的优点?
ASP .NET 的好资源很少(Troy Hunt中最好的资源)。但他们都没有谈到 ADFS 2.0。ADFS 2.0 wrt 对 OWASP 有什么附加价值吗(肯定有!!)?建设性的讨论也将受到赞赏。
是否有安全资源/博客文章展示了 ADFS 2.0(或通用 SSO)与OWASP - 十大漏洞列表的优点?
ASP .NET 的好资源很少(Troy Hunt中最好的资源)。但他们都没有谈到 ADFS 2.0。ADFS 2.0 wrt 对 OWASP 有什么附加价值吗(肯定有!!)?建设性的讨论也将受到赞赏。
您最好的选择是与 Gunnar Peterson 交谈(搜索 1raindrop)。他是 SSO/SAML 的负责人。Troy 也很有价值,并且绝对与 Microsoft 堆栈保持一致。
Top 10 方法是关于研究人员在出版前一年发现的(因此 OWASP Top 10 2007 是对 2006 年弱点的总结)。无论好坏,研究人员通常不会遇到企业应用程序、堆栈或核心技术,例如 ADFS。那些这样做的人是付费看他们的,不幸的是,这通常需要保密协议。
一种更好的方法是我为应用程序安全验证标准和 OWASP 开发人员指南采用的方法 - 是为构建者提供构建帮助,因此您应该采取一组积极的、可验证的步骤来保护自己。
前 10 名是开始讨论的很好的教育文章,但正如我在 2007 年前 10 名的介绍中所写的那样,2007 年前 10 名(以及所有这些)都不是标准!不要这样使用它们。
Jim Manico 正在与无数作者合作编写备忘单系列。如果您有兴趣为 OWASP 做出贡献,可以考虑使用 ADFS 或 SSO 备忘单吗?
谢谢,安德鲁