0

ADFS 2.0 (または一般的な SSO) とOWASP - 脆弱性のトップ 10 リストの良さを示すセキュリティ リソース / ブログ投稿はありますか?

ASP .NET の優れたリソースはほとんどありません ( Troy Huntの最高のリソース)。しかし、誰も ADFS 2.0 について語っていません。OWASP に対する ADFS 2.0 の付加価値はありますか (間違いなくあります!!) ? 建設的な議論も歓迎します。

4

1 に答える 1

1

Gunnar Peterson (1raindrop を検索) に相談するのが最善の策です。彼は SSO/SAML の専門家です。Troy も価値があり、Microsoft スタックと確実に一致しています。

トップ 10 の方法論は、研究者が発表のの年に発見したものに関するものです(つまり、2007 年の OWASP トップ 10 は 2006 年の弱点の要約です)。良くも悪くも、研究者はエンタープライズ アプリケーション、スタック、または ADFS などのコア テクノロジに出くわすことはあまりありません。それらを見るために支払われる人は、残念ながら、通常NDAを伴います.

より良いアプローチは、私が Application Security Verification Standard と OWASP Developer Guide で採用しているものです。これは、ビルダーに構築支援を提供することです。つまり、自分自身を保護するために実行する必要がある、肯定的で検証可能な一連の手順です。

トップ 10 は、議論を始めるための優れた教育資料ですが、トップ 10 2007 の紹介で書いたように、トップ 10 2007 (そして実際にはそれらすべて) は標準ではありません! そのまま使用しないでください。

Jim Manico は、膨大な数の著者と共にチート シート シリーズに取り組んでいます。OWASP への貢献に関心がある場合は、ADFS または SSO チート シートを検討してみてはいかがでしょうか?

ありがとう、アンドリュー

于 2013-02-15T06:27:39.313 に答える