您在此处:
Web 应用程序设置:SAML 消息的签名算法 - 选择 SHA256
此安全设置指定使用安全哈希算法 256 位变体为 SAML 声明生成数字签名。
控件名称
连接的应用程序:Web 应用程序设置:SAML 消息的签名算法 - 选择 SHA256
推荐配置
SAML 消息的签名算法 - 选择 SHA256。
控制概览
此安全设置指定使用安全哈希算法 256 位变体为 SAML 声明生成数字签名,确保身份交换的完整性和真实性。
安全风险(如果未配置)
SAML 消息缺少或使用弱签名算法会导致证书伪造漏洞,并绕过提供商和应用程序之间已经建立的身份 Trust。
威胁场景
攻击者利用 SHA-1 等传统算法中的已知冲突漏洞来伪造看起来有效的数字签名,使他们能够将未经授权的管理声明注入身份验证流。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
如果不使用现代散列标准,就会助长成功的声明操纵和身份欺骗,从而导致联合访问管理系统的全面受损。
高风险
当服务提供商不强制签名过期时,或者当用于签名的私钥存储在没有硬件备份保护的基于软件的存储库中时。
低风险
如果组织已强制使用短期 SAML 声明,并对每次联合登录尝试强制执行多重身份验证。
业务和集成注意事项
迁移到 SHA-256 可确保符合现代行业安全标准,但需要确认接收服务提供商可以处理 256 位加密散列。
建议的补救措施
在保存配置之前,转到连接的应用程序的 Web 应用程序设置,并更新签名算法字段,以选择 SHA256。
安全健康审查指导
安全运行状况审查将 SHA-256 签名的实施确定为强烈建议的标准,以防止加密攻击,并确保所有身份声明保持抵抗未经授权的修改。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
