ADFS 2.0 (または一般的な SSO) とOWASP - 脆弱性のトップ 10 リストの良さを示すセキュリティ リソース / ブログ投稿はありますか?
ASP .NET の優れたリソースはほとんどありません ( Troy Huntの最高のリソース)。しかし、誰も ADFS 2.0 について語っていません。OWASP に対する ADFS 2.0 の付加価値はありますか (間違いなくあります!!) ? 建設的な議論も歓迎します。
ADFS 2.0 (または一般的な SSO) とOWASP - 脆弱性のトップ 10 リストの良さを示すセキュリティ リソース / ブログ投稿はありますか?
ASP .NET の優れたリソースはほとんどありません ( Troy Huntの最高のリソース)。しかし、誰も ADFS 2.0 について語っていません。OWASP に対する ADFS 2.0 の付加価値はありますか (間違いなくあります!!) ? 建設的な議論も歓迎します。
Gunnar Peterson (1raindrop を検索) に相談するのが最善の策です。彼は SSO/SAML の専門家です。Troy も価値があり、Microsoft スタックと確実に一致しています。
トップ 10 の方法論は、研究者が発表の前の年に発見したものに関するものです(つまり、2007 年の OWASP トップ 10 は 2006 年の弱点の要約です)。良くも悪くも、研究者はエンタープライズ アプリケーション、スタック、または ADFS などのコア テクノロジに出くわすことはあまりありません。それらを見るために支払われる人は、残念ながら、通常NDAを伴います.
より良いアプローチは、私が Application Security Verification Standard と OWASP Developer Guide で採用しているものです。これは、ビルダーに構築支援を提供することです。つまり、自分自身を保護するために実行する必要がある、肯定的で検証可能な一連の手順です。
トップ 10 は、議論を始めるための優れた教育資料ですが、トップ 10 2007 の紹介で書いたように、トップ 10 2007 (そして実際にはそれらすべて) は標準ではありません! そのまま使用しないでください。
Jim Manico は、膨大な数の著者と共にチート シート シリーズに取り組んでいます。OWASP への貢献に関心がある場合は、ADFS または SSO チート シートを検討してみてはいかがでしょうか?
ありがとう、アンドリュー