直播预告 | SAML签名验证为什么会导致RCE？

SAML是一个基于XML的认证和授权信息交换协议，它由结构化信息标准促进组织（OASIS）于2002年发布。SAML2.0版在2005年被OASIS批准，如今已作为一项基础身份协议在云服务、web应用得到了广泛支持。

SAML协议简化了用户、身份提供商和服务提供商的联合身份验证和授权过程。但随着其在实际场景中的应用越发广泛，可利用攻击面数量也急速增长。

安全研究员发现了协议本身及协议实现存在多处风险和漏洞，例如，攻击者利用漏洞可以欺骗SAML系统,在不知道其他用户密码的情况下以该用户身份进行认证。

那么，SAML协议最易忽略的攻击面有哪些？如何提升防御能力，保护SAML协议免受漏洞影响？

3月15日16点，中安网星御守实验室成员何云轩将带来《无声绽放的攻击威胁——身份认证协议攻防之道》第一场专题线上直播。基于丰富的实战场景案例，为大家揭秘SAML协议频频被攻击的背后真相。

直播详细信息介绍

✦直播主题：身份攻击-SAML

✦直播时间：2023年3月15日16：00-17：00

✦内容大纲：

1.SAML协议介绍

      SAML协议的作用

      SAML SSO认证的流程

      SAML认证中消息格式

2.SAML攻击面

      SAML实现层面的攻击面，XXE、XLST、签名绕过等

      SAML认证流程攻击面（GOLDEN SAML）

3.SAML漏洞案例

      XXE

          CVE-2022-34716

      XML Signature Wrapping

          XSW1-8

      XSLT

          CVE-2022-47966

      SAML逻辑漏洞

          CVE-2022-41912

✦如何观看：点击链接https://live.bilibili.com/23482509或搜索房间号23482509进入直播间~

✦更多福利：除了分享干货，直播结束后，我们将进行福利抽奖。在参与直播的同学中抽出三名锦鲤送出🎁。欢迎大家进入直播间交流互动~