-2

SAML 断言在 IDP(PF) 处生成。它在 SP(PF) 处被消耗。saml 断言是否可能被篡改?如果是这样,如何测试它?我正在尝试跟踪获取和发布请求。

当我将生成的 SAML 响应发布到https://machine_name:port_no/sp/ACS.saml2时,我收到 404 错误。我知道我们无法点击 url。当我提供目标资源 url 时,资源页面被打开。但我在服务器日志中找不到响应。

我想发布生成的响应并稍作修改并测试它是否引发任何错误。不应允许入侵者获取资源。虽然我修改了响应,但我可以点击 url 并访问页面。我为此目的使用 POSTMAN chrome 扩展。

注意:我正在从无代理集成工具包示例应用程序中提取 saml 响应。所以目标 url 是https://machine_name:port_no/AgentlessIntegrationKitSampleSP

谢谢, 阿斯维尼 J

4

1 回答 1

0

如果你想在浏览器中篡改 SAML 数据,你应该使用 Firefox 的 Tamper Data 扩展。它将允许您逐步完成每个事务并有选择地修改数据。

但是,您无法成功篡改 SAML 响应,因为它是经过数字签名(并且可以选择加密)的消息。对签名数据的任何篡改都会使消息无效,并且 PingFederate 将不允许消息通过。这是根据 PF 严格执行的 SAML XMLDig 规范强制执行的。

PingFederate (SP) 和 QuickStartApp (SP) 之间交换的信息不是 SAML——它是一个“一次性使用”的参考令牌,指的是存储在 PingFederate 运行时内存中的信息。如果修改此值,PF 将抛出错误,因为它不会引用任何已知数据。

于 2015-02-26T16:11:29.497 回答