在IDP(PF)处生成SAML断言。它在SP(PF)处消耗。 saml断言篡改可能吗?如果是这样,如何测试呢?我正在努力跟踪获取&发布请求。
当我将生成的SAML响应发布到https://machine_name:port_no/sp/ACS.saml2时,我收到404错误。我知道我们无法点击url。当我提供目标资源URL时,资源页面被打开。但是我在服务器日志中找不到响应。
我想稍微修改后发布生成的响应,并测试它是否会引发任何错误。不应允许入侵者获取资源。虽然我修改了响应,但我能够点击网址和访问该页面。我正在使用POSTMAN chrome扩展名来实现此目的。
注意:我正在从Agentless Integration Kit示例应用程序中提取saml响应。所以目标网址为https://machine_name:port_no/AgentlessIntegrationKitSampleSP
谢谢, Aswini J
答案 0 :(得分:0)
如果您想在浏览器中篡改SAML数据,则应使用Firefox的Tamper Data扩展。它将允许您逐步执行每个事务并有选择地修改数据。
但是,您无法成功篡改SAML响应,因为它是经过数字签名(并且可选择加密)的消息。对签名数据的任何篡改都将使邮件无效,PingFederate将不允许邮件通过。这是PF严格执行的SAML XMLDig规范的强制要求。
PingFederate(SP)和QuickStartApp(SP)之间交换的信息不是SAML - 它是一次性使用"引用令牌,引用存储在PingFederate运行时内存中的信息。如果修改此值,PF将引发错误,因为它不会引用任何已知数据。