¿Es posible analizar mensajes reales de inicio de sesión único (SSO) a través de un rastreo de red?

Navega tus respuestas
0

Estoy pensando en cómo obtener y analizar la información en los mensajes reales de SSO (solicitud / respuesta), para algunas soluciones comerciales de SSO.

El desafío es que la mayoría de las soluciones comerciales de SSO son de caja negra o de caja gris. Conozco los protocolos OpenID / SAML. Sobre la base de estos estándares, los proveedores de SSO (idps) personalizaron sus propias soluciones de SSO, como el SSO de ID de Google, el SSO de acceso de Paypal, el SSO de conexión de Facebook y muchos más.

  1. Cuando el token / aserción de SSO se transmite a través de la red, ¿es posible analizarlos (mensajes de solicitud / respuesta de SSO) con la ayuda de la red de rastreo?

  2. Sé que muchos de ellos ya están cifrados por TLS / HTTPS. ¿Es posible convertirlos en HTTP y analizarlos?

  3. ¿Cualquier otra metodología puede ayudar al análisis comercial de SSO, excepto en la búsqueda en línea de los informes oficiales? Por ejemplo, el análisis basado en el navegador.

pregunta Li Dong 01.03.2017 - 03:48
fuente

1 respuesta

3

Hay dos tipos de datos en un sistema SSO: datos que un usuario final puede ver y datos que están ocultos para el usuario final. Si el sistema está diseñado correctamente, no hay una tercera categoría (es decir, no hay datos ocultos, pero se pueden obtener a través del rastreo).

Hay muchos sistemas SSO donde el 100% de la transferencia de datos se realiza ante sus ojos, en el navegador. Si tienes Chrome, puedes presionar F12 y ver todo el tráfico. No tiene que olfatearlo o descifrarlo porque es el usuario adecuado y su navegador tiene la clave de sesión criptográfica. Con este método, puede ver con frecuencia las solicitudes, respuestas y aserciones de SAML que pasan directamente a través de su navegador a través de mensajes con guiones y redirecciones.

Pero en algunos sistemas hay datos que están ocultos, por dos medios. (1) Los datos aún fluyen a través de su navegador, pero están cifrados (por ejemplo, una cookie de sesión que contiene un token de portador cifrado), y (2) los datos que fluyen a través de un canal posterior (por ejemplo, si se establece una VPN privada entre el servidor de identidad y el servidor de aplicaciones). En el primer caso, no podrá acceder a los datos a menos que su criptografía esté rota. En este último caso, su navegador puede estar usando tokens que no tienen significado para usted porque son punteros a un almacén de datos que no puede ver.

En todos los casos, rastrear el tráfico de la red no obtendrá nada que no puedas obtener por medios más fáciles.

    
respondido por el John Wu 01.03.2017 - 09:22
fuente

Lea otras preguntas en las etiquetas

¿Es posible emedir una puerta trasera en una imagen? [duplicar] Problemas para comprender SAQ A pregunta 12.8.5