Spring security siteminder
我最近使用Veracode软件进行了一次代码安全扫描。他们发现的其中一个漏洞是CWE ID 296 (不正确地遵循证书的信任链),只提供了一个网址:
一些domain/login.fcc?TYPE=33554433&REALMOID=06-0001a0fa-fce9-116f-9124-e48cac184047&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$h5DAp2mUtJV%2b9BSWU0E5b3HEpwYmd7icGcuJcCzyJ79JnAUSHTDMYaehDLGNNWHM&TARGET=$SM$%2f
现在,我知道了什么是信任链,但是URL中的参数似乎并不直接与信任链相关。但是,我注意到这里的属性都是由SiteMinder使用的。由于我们的应用程序使用Spring Security的模块来支持SiteMinder,我想知道你们是否知道这是什么。
项目队列中是否存在与信任链检查不正确相关的未解决问题?我在那里做了简短的扫描,但什么也找不到。
回答 1
Stack Overflow用户
发布于 2014-12-17 00:32:44
这些参数的含义如下:
TYPE=33554433:这是登录的类型
REALMOID=06-0001a0fa-fce9-116f-9124-e48cac184047:这是已请求身份验证的SiteMinder领域的OID。
GUID:不确定
URL :将用户重定向到登录SMAUTHREASON=0的原因。0表示重定向,因为不需要现有的会话身份验证。
METHOD=GET:用于访问受保护资源的http方法
SMAGENTNAME=$SM$h5DAp2mUtJV%2b9BSWU0E5b3HEpwYmd7icGcuJcCzyJ79JnAUSHTDMYaehDLGNNWHM:发出请求的代理的名称
TARGET=$SM$%2f:要重定向到发布成功身份验证的URL。
谢谢Avijit
https://stackoverflow.com/questions/27507606
复制相似问题
腾讯云开发者
