是否有一个安全资源/博客帖子,它使用OWASP - Top 10 list of vulnerabilities演示了ADFS 2.0(或一般SSO)的优点?
ASP .NET的资源很少(Troy Hunt中最好的资源)。但他们都没有谈到ADFS 2.0。是否有任何值添加ADFS 2.0 w.r.t到OWASP(绝对有!!)?建设性讨论也将受到赞赏。
答案 0 :(得分:1)
你最好的选择是与Gunnar Peterson(寻找1raindrop)交谈。他是SSO / SAML的家伙。特洛伊也很有价值,并且肯定与微软的堆栈保持一致。
排名前十的方法是关于研究人员发现之前出版的那一年(因此OWASP Top 10 2007是对2006年弱点的总结)。无论好坏,研究人员通常不会遇到企业应用程序,堆栈或核心技术,例如ADFS。那些做的是付钱看他们,不幸的是,这通常需要NDA。
我采用的更好的方法是应用程序安全验证标准和OWASP开发人员指南 - 为构建者提供构建帮助,因此应采取积极,可验证的一系列步骤来保护自己。
前10名是一个很好的教育作品,可以开始讨论,但正如我在2007年前10名的介绍中所写的那样,2007年的前十名(以及所有这些都是真的)不是标准!不要这样使用它们。
Jim Manico正在与一个拥有数百名作家的作弊系列进行合作。如果您有兴趣为OWASP做出贡献,可以考虑使用ADFS或SSO备忘单吗?
感谢, 安德鲁