Burpsuite 有测试SAML的插件——SAML Raider。
该插件可以根据八种常规的XSW攻击方法插入恶意断言。
搭建VMware vsphere vcenter环境,抓包查看sso SAML签名格式如下:
此处有张图
这里post请求的参数是只是用了BASE64编码了的,而get请求则使用了压缩编码+BASE64编码。
-
Next Post至即将到来的6月
-
Previous PostOn Breaking SAML Be Whoever You Want to Be