微信登录
QQ登录
会员登录
注册帐号
设为首页
加入收藏
手机版
换风格
关注我们:
加微博
加微信
打开微信扫一扫
400-800-1234
为您定制专业的垂直门户
搜索
搜 索
本版
文章
帖子
用户
首页
Portal
创意
BBS
设计资讯
安卓/IOS
程序案例
平面/矢量
3D建模
网页编程
软件/程序
系统平台
平面设计
3D/VR设计
UI
网站美工
效果图
3D渲染
服务器软件
应用工具
娱乐/游戏
数据库
插件/扩展
建站系统
监控/管理
开发工具
程序开发
IOS
移动开发
Android
Android
IOS
Linux
DOS
Mac OSX
Windows
Symbian塞班
资讯
热点
软件资讯
图片
最新动态
编程
学术
脚本
其他
机器
Object-c
Java
图形
平面设计
3D/VR设计
UI
网站美工
FLASH
VI
任务
求图形
求代码
发程序
求案例
平台
Android
IOS
Linux
Mac OSX
Windows
DOS
安全验证
请完成以下验证码
安卓篱笆
»
创意
›
本站推荐
›
入侵与安全
›
新型入侵技术Golden SAML现身 企业云资源安全如何保证
猜你喜欢
返回列表
查看:
2357
|
回复:
0
新型入侵技术Golden SAML现身 企业云资源安全如何保证
[复制链接]
GuiTarvvm2098
GuiTarvvm2098
当前离线
积分
1097
308
主题
307
帖子
1097
积分
管理员
积分
1097
收听TA
发消息
发表于 2017-11-30 04:53:58
|
显示全部楼层
|
阅读模式
马上注册,,享用更多功能,让你轻松玩转本站。
您需要
登录
才可以下载或查看,没有帐号?
立即注册
x
CyberArk实验室的安全专家设计了一种被称为Golden SAML的新型入侵技术,攻击者可以利用它来创建一个虚假的SAML身份认证对象。
SAML即安全声明标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的开放标准,用于在身份提供商和服务提供商之间交换认证和授权数据。
这就意味着攻击者可以通过伪造SAML身份验证对象来模拟一个企业身份,并拥有企业身份的所有权限,以便能够共享环境中访问有价值的云资源。
以SAML 2.0协议作为SSO(单点登录)认证机制的任何服务都受此攻击方法影响,例如Azure(基于云计算的操作系统)、AWS(业务流程管理开发平台)、vSphere(服务器虚拟化软件)等。
随着云平台的兴起,越来越多的企业将基础架构迁移到云平台上。在这种情况下,传统的AD(Active Directory,活动目录)已经不再是用户认证及授权的首选方案。当然,AD目前已经普遍被用于大型架构中的一个组成部分,比如Federation(联邦)。
Federation允许完全不同的环境之间建立信任关系,例如Microsoft AD、Azure、AWS等。这种信任关系,允许AD中的任何一个用户都可以通过SSO认证方来访问Federation中所有可信任的域。
Golden SAML这个名字很容易让我们联想到另外一种入侵技术——Golden Ticket,它由大名鼎鼎的Mimikatz密码读取工具(能够抓取采用Windows系统的计算机系统密码)开发者Benjamin Delpy发布。
Golden SAML与Golden Ticket非常类似,发起攻击并不依赖于SAML 2.0中的漏洞。另外,发起攻击的前提条件是必须首先获得域管权限,这也是为什么厂商没有对其修复的原因。
然而,在实际中攻击者可以通过很多方法来获得所需的域管权限。并且,可以利用这些权限潜伏在目标系统中长达数年发动持续性的攻击。
更不幸的是,只要攻击者采用了适当的方法来实施这种入侵技术,对于防御者来说很难发现这种恶意行为。而一但攻击者的攻击实施成功,具有高价值的云资源(如DC、AD FS或任何其他IdP设施)将面临风险。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
回复
使用道具
举报
返回列表
*
滑动验证:
使用
高级模式
(可批量传图、插入视频等)
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
写好了,发布
回帖后跳转到最后一页
关闭
站长推荐
/3
3dmax家居用品建模教程
3dmax2013中文版盘子家居用品3d模型建模实例教程
查看 »
如何用photoshop设计logo标志
Logo设计是平面设计皇冠上的明珠,很多人拿到logo一筹莫展,不知道该如何下手,其实很简单,我们只要先确定主题,然后找到想表现的元素,这样再进行设计,就可以水到渠成啦。
查看 »
UI设计入门教程大全!UI设计入门必看
文章中推荐了很多干货和知识点文章,能坚持每个知识点都搞明白的话,起码要半年的时间!但如果你是ui设计新手,真的想以后从事UI设计的工作,那么强烈建议你认认真真的读完这篇文章!但是如果你进来随便看一看就走了,那不能怪别人,是你自己不努力!毕竟任何一件事都需要先付出才会有收货!”
查看 »
快速回复
返回顶部
返回列表