0
使用.NET 3.5SAML斷言值XML簽名結束語
我一直在問我的一個客戶,以提高我檢查SAML響應,他們發給我的方式。
它們通過使用共享證書進行數字簽名的響應發送。這一切都證明是正確的,但他們正在使用諸如Burp之類的工具來挑選我,他們能夠攔截他們發送給我的響應並更改正在發送的ID值。這就是所謂的XML簽名包裝。
我的問題是如何檢查我收到的價值沒有被改變?
非常感謝
馬特
A
回答
0
當您驗證在.NET中對預共享證書的XML簽名,你應該做兩兩件事:
- 呼叫
SignedXml.CheckSignature()來檢查內容簽名指的是根據簽名有效。 - 檢查簽名的引用(在SAML2的情況下應該只有一個),然後用引用的id調用
SignedXml.GetIdElement()。然後使用返回的節點進行進一步處理。這將確保您正在處理的節點是與SignedXml驗證的相同的節點。
進一步的閱讀可見我的博客文章在https://coding.abel.nu/2015/12/xml-signatures-and-references/
相關問題
- 1. 無法驗證SAML斷言簽名
- 2. Spring Security SAML擴展,SAML斷言,Mangled,簽名丟失
- 3. SAML響應和斷言是否已簽名/未簽名?
- 4. SAML斷言錯誤
- 5. SAML斷言使用java
- 6. Spring安全SAML斷言
- 7. PowerShell驗證SAML簽名的XML
- 8. SAML簽名問題
- 9. Azure中基於SAML的IDP(帶簽名響應和加密斷言)設置?
- 10. 爲什麼SAML斷言文件的數字簽名的一部分?
- 11. SAML 2.0 x509證書和簽名值?
- 12. 如何驗證SAML簽名值
- 13. 如何在Perl中驗證SAML斷言?
- 14. ASP.Net Core - 將SAML斷言轉化爲ClaimsPrincipal
- 15. 在TFIM中捕獲SAML斷言
- 16. 從IDP發送SAML斷言as aookie
- 17. 如何顯示Saml斷言節點?
- 18. OpenSSO SSOToken到SAML斷言和返回
- 19. 生成SAML 1.1(可能2.0)斷言
- 20. 在java中生成SAML響應/斷言
- 21. SAML斷言解密使用Java代碼
- 22. 處理SAML斷言如何工作?
- 23. 發送SAML斷言的最佳方式
- 24. 從IDP向SP發送SAML斷言
- 25. 如何獲得用戶名在SAML斷言(OpenAM)
- 26. 結合斷言和switch語句
- 27. SAML簽名驗證失敗
- 28. OKTA SAML簽名驗證 - PHP
- 29. 斷言(真)警告簽名/未簽名不匹配
- 30. 在treeview控件中結束xml標籤
是斷言簽名,或在響應簽署?你今天如何驗證它? –