-2

SAML アサーションは IDP(PF) で生成されます。SP(PF)で消費されます。saml アサーションの改ざんは可能ですか? もしそうなら、それをテストする方法は?get & post リクエストを追跡しようとしています。

生成された SAML 応答をhttps://machine_name:port_no/sp/ACS.saml2に送信すると、404 エラーが発生します。URL にアクセスできないことは承知しています。リンク先のリソース URL を指定すると、リソース ページが開きます。しかし、サーバー ログに応答がありません。

生成された応答をわずかに変更して投稿し、エラーがスローされるかどうかをテストしたいと思います。侵入者がリソースを取得することを許可してはなりません。応答を変更しますが、URL にアクセスしてページにアクセスできます。この目的のために POSTMAN chrome 拡張機能を使用しています。

注 : Agentless Integration Kit サンプル アプリケーションから saml 応答を抽出しているため、宛先 URL はhttps://machine_name:port_no/AgentlessIntegrationKitSampleSP です。

ありがとう、 アスウィニ J

4

1 に答える 1

0

ブラウザで SAML データを改ざんしたい場合は、Firefox の Tamper Data 拡張機能を使用する必要があります。これにより、各トランザクションをステップ実行して、データを選択的に変更できます。

ただし、SAML 応答はデジタル署名された (オプションで暗号化された) メッセージであるため、正常に改ざんすることはできません。署名されたデータが改ざんされるとメッセージが無効になり、PingFederate はメッセージの通過を許可しません。これは、PF が厳密に実施する SAML XMLDig 仕様に従って義務付けられています。

PingFederate (SP) と QuickStartApp (SP) の間で交換される情報は SAML ではありません。これは、PingFederate ランタイム メモリに格納されている情報を参照する「1 回限りの使用」参照トークンです。この値を変更すると、既知のデータを参照しないため、PF はエラーをスローします。

于 2015-02-26T16:11:29.497 に答える