Jump to content
Nytro

BYPASSING SAML AUTHENTICATION FOR BEGINNERS!

Recommended Posts

  • Moderators

SAML necesita mult prea multe verificari si tine foarte mult de SP sa nu greseasca sau sa activeze vreun flag (sau sa uite sa-l dezactiveze) in SDK-ul de SAML care sa deschida o portita, gen verificarea semnaturii doar daca exista, cum prezinta in video.

 

Recomand cu toata increderea implementarea OpenID Connect. Din 100-200 de linii de cod se poate face schimbul de authorization code (daca e authorization code flow/pkce flow), decodarea JWT-ului, verificarea semnaturii si a timestamp-urilor si preluarea username-ului si a rolurilor, din token sau de pe endpoint-ul /introspect.

 

  • Upvote 2
Link to comment
Share on other sites

Da, oricum e destul de RAR SAML. Si pentru JWT sunt niste reguli:

- De preferat criptarea asimetrica sau un secret "puternic" pe ciptarea simetrica

- De generat JWT dupa ce userul s-a logat doar, nu de exemplu la signup

- De verificat intotdeauna semnatura si nu permis mizeriile cu algorithm 'none'

- De nu pus date sensitive prin JWT

- De ne reutilizarea se secretului pentru a genera JWT-uri diferite, pentru aplicatii diferite, ca apoi cineva sa le poata interschimba

- De implementat corect flow-urile

- De evitat open redirect, mai ales in redirect_url

- De implementat protectiile anti-CSRF

 

Desi lista pare lunga, mi se pare mult mai simplu, practic si eficient decat SAML. 

  • Upvote 1
Link to comment
Share on other sites

9 hours ago, Nytro said:

Da, oricum e destul de RAR SAML. Si pentru JWT sunt niste reguli:

- De preferat criptarea asimetrica sau un secret "puternic" pe ciptarea simetrica

- De generat JWT dupa ce userul s-a logat doar, nu de exemplu la signup

- De verificat intotdeauna semnatura si nu permis mizeriile cu algorithm 'none'

- De nu pus date sensitive prin JWT

- De ne reutilizarea se secretului pentru a genera JWT-uri diferite, pentru aplicatii diferite, ca apoi cineva sa le poata interschimba

- De implementat corect flow-urile

- De evitat open redirect, mai ales in redirect_url

- De implementat protectiile anti-CSRF

 

Desi lista pare lunga, mi se pare mult mai simplu, practic si eficient decat SAML. 

Ce alte tipuri de autentificare mai exista in afara de Basic Auth, SAML, Keys, OAuth, JWT, Tokens ?

Link to comment
Share on other sites

  • Moderators
2 hours ago, andr82 said:

Ce alte tipuri de autentificare mai exista in afara de Basic Auth, SAML, Keys, OAuth, JWT, Tokens ?

Mai sunt WS-Fed (in principiu am vazut O365 sa-l foloseasca, desi mai nou cam toata lumea foloseste Graph API care are OIDC la baza), Kerberos ticket (pentru sisteme legate prin Active Directory) si derivate de la cele de baza, precum JPaseto.

Edited by Dragos
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...