SAML

  • Claves públicas/privadas débiles: buscar la clave/certificado público en internet para encontrar la clave/certificado privado respectivo, luego utilizarlo para modificar los requests y obtener acceso como otro usuario.

  • Sin verificación de firma: utilizar cualquier firma para modificar los requests y obtener acceso como otro usuario.

  • Signature stripping / eliminación de firmas: utilizar valores de firma vacíos para modificar los requests y obtener acceso como otro usuario.

AnteriorOAuthSiguienteSame-origin policy (SOP)

Última actualización