您位於此處:
網頁應用程式設定:SAML 訊息的簽署演算法 - 選取 SHA256
此安全性設定指定使用 Secure Hash Algorithm 256 位元變體來產生 SAML 判斷式的數位簽章。
控制名稱
連線的應用程式:網頁應用程式設定:SAML 訊息的簽署演算法 - 選取 SHA256
建議組態
SAML 訊息的簽署演算法 - 選取「SHA256」。
控制概觀
此安全性設定指定使用 Secure Hash Algorithm 256 位元變體來產生 SAML 判斷式的數位簽章,以確保身分交換的完整性和真實性。
未設定安全性風險
SAML 訊息的簽署演算法缺少或使用時,會導致憑證偽造的漏洞,並略過提供者與應用程式之間建立的身分Trust。
威脅情況
攻擊者利用舊版演算法 (例如 SHA-1) 中的已知衝突漏洞建立有效外觀的數位簽名,讓他們將未經授權的管理宣告注入驗證流程。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
使用現代雜湊標準的失敗有助於成功操作判斷式和身分詐騙,這可能會導致聯合存取管理系統的總損失。
風險愈高時機
當服務提供者未強制執行簽章到期,或當用於簽署的私人金鑰儲存在軟體型存放庫中,而沒有硬體支援的保護時。
低度風險時機
如果組織已要求使用短暫的 SAML 判斷式,並針對每個聯合登入嘗試強制執行多因素驗證。
業務與整合考量事項
轉換至 SHA-256 可確保符合現代產業安全性標準,但需要確認接收服務提供者可以處理 256 位元密碼雜湊。
建議的補救措施
前往連線的應用程式的「Web 應用程式設定」,然後在儲存組態前,請先更新「簽署演算法」欄位以選取「SHA256」。
安全性健康檢閱指南
「安全性健康審查」將強制執行 SHA-256 簽署識別為強烈建議的標準,以防止密碼編譯攻擊,並確保所有身分判斷都保持抵禦未經授權的修改。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
