SAML漏洞：不知你密码，也可合法登陆

Duo Labs和美国计算机紧急响应小组协调中心（CERT/CC）的安全研究人员今天将发布安全公告，详述一个新的SAML安全漏洞。漏洞隐患是，恶意攻击者可以在不知道受害者密码的情况下，以合法用户的身份来登录。

该漏洞影响SAML（安全声明标记语言），这种基于XML的标记语言常常用于在各方之间交换身份验证和授权数据。

SAML最重要的用途是用在单点登录（SSO）解决方案中，让用户只需使用一个身份就可以登录到多个帐户。不像其他共享身份验证方案，比如OAuth、OpenID、OpenID Connect和Facebook Connect-SSO，SSO将用户的身份存储在用户有帐户的中央服务器上。

用户试图登录到其他企业应用程序时，那些应用程序（服务提供者，SP）通过SAML向本地SSO服务器（身份提供者，IdP）发出请求。

XML注释处理机制引起的漏洞

在今天晚些时候发布的一份报告中，Duo Labs的研究人员披露了一个设计漏洞，该漏洞影响众多SSO软件和用来支持基于SAML的SSO操作的几个开源代码库。

漏洞根源是这些库处理插入到SAML响应请求当中的XML注释的方式有问题。比如说，研究人员注意到，如果攻击者以破坏用户名的方式将注释插入到用户名字段中，就可以访问合法用户的帐户。

SAML漏洞

攻击者要钻这个漏洞的空子，唯一的条件就是在受害者的网络上有一个注册帐户，那样才能查询SAML提供者，并伪造请求，“以诱骗SAML系统通过身份验证，以为攻击者是另一个合法用户。”

漏洞影响多家厂商和开源库

Duo Labs的研究人员表示，他们发现了容易受到这种攻击的多家SSO厂商和使用下列其中一个库来解析SAML基于XML的身份验证请求的厂商。

然而Duo Labs表示，这不是以同样的方式影响“所有”基于SAML的SSO提供者的漏洞。

Duo Labs的团队表示：“存在这个行为不好，但并非总是可以被利用。SAML[身份提供者]和[服务提供者]通常很易于配置，所以有很大的空间来扩大或减小影响。”

研究人员建议禁止公众注册敏感网络上的用户帐户，手动审查每个用户，从源头上避免攻击者在内部网络上注册帐户。

要是这一招不现实，网络管理员可以配置一份白名单，列入可接受的电子邮件地址域名，限制谁可以在网络上注册，不过这不是可靠的保护措施，决心已定的攻击者会找到规避方法。

如果帐户受到双因子验证（2FA）解决方案的保护，攻击不可能得逞。

最新消息：Duo Labs技术报告可在这里找到（https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations）。CERT/CC安全公告于今天晚些时候发布，敬请关注此链接（https://www.kb.cert.org/vuls/id/475445）。