SAML XML注入漏洞分析与防御指南<\/h1>

漏洞概述<\/h2>
本文详细分析了一种影响SAML单点登录(SSO)系统的新型XML注入漏洞，该漏洞由Duo Labs团队发现并报告。此漏洞允许经过身份验证的攻击者在不获取受害者用户密码的情况下，通过精心构造的SAML响应伪造用户身份进行登录。<\/p>

受影响产品<\/h2>

多个知名SAML实现受到此漏洞影响，包括：<\/p>

OneLogin - python-saml (CVE-2017-11427)<\/li>
OneLogin - ruby-saml (CVE-2017-11428)<\/li>
Clever - saml2-js (CVE-2017-11429)<\/li>
OmniAuth-SAML (CVE-2017-11430)<\/li>
Shibboleth (CVE-2018-0489)<\/li>

Duo Network Gateway (CVE-2018-7340)<\/li> <\/ul>

SAML响应基础<\/h2>

SAML(安全断言标记语言)是单点登录系统中广泛使用的标准协议。关键处理流程：<\/p>

用户向身份提供者(IdP)进行身份验证，生成已签名的SAML响应<\/li>
浏览器将响应转发给服务提供者(SP)<\/li>
SP验证SAML响应签名<\/li>

如果签名有效，SAML响应中的NameID标识符用于确定用户身份<\/li> <\/ol>

简化的SAML响应结构：<\/p>

<SAMLResponse><\/span>
<\/span><\/span>  <Issuer><\/span>https:\/\/idp.com\/<\/Issuer><\/span>
<\/span><\/span>  <Assertion<\/span> ID=<\/span>"_id1234"<\/span>><\/span>
<\/span><\/span>    <Subject><\/span>
<\/span><\/span>      <NameID><\/span>user@user.com<\/NameID><\/span>
<\/span><\/span>    <\/Subject><\/span>
<\/span><\/span>  <\/Assertion><\/span>
<\/span><\/span>  <Signature><\/span>
<\/span><\/span>    <SignedInfo><\/span>
<\/span><\/span>      <CanonicalizationMethod<\/span> Algorithm=<\/span>"xml-c14n11"<\/span>\/><\/span>
<\/span><\/span>      <Reference<\/span> URI=<\/span>"#_id1234"<\/span>\/><\/span>
<\/span><\/span>    <\/SignedInfo><\/span>
<\/span><\/span>    <SignatureValue><\/span>签名数据<\/SignatureValue><\/span>
<\/span><\/span>  <\/Signature><\/span>
<\/span><\/span><\/SAMLResponse><\/span>
<\/span><\/span><\/code><\/pre>漏洞技术原理<\/h2>
XML规范化问题<\/h3>
XML签名前会进行规范化处理，使逻辑上等效的XML文档具有相同的字节表示。常见的规范化算法：<\/p>

http:\/\/www.w3.org\/2001\/10\/xml-exc-c14n#<\/code> (exc-c14n)<\/li>
http:\/\/www.w3.org\/2001\/10\/xml-exc-c14n#WithComments<\/code> (保留注释的变体)<\/li>
<\/ul>
规范化会忽略某些不影响语义的差异，如属性顺序、注释等。<\/p>
XML API文本提取不一致性<\/h3>
不同XML库处理包含注释的文本节点时行为不一致：<\/p>


lxml\/REXML等库<\/strong>：仅返回第一个文本节点内容<\/p>
<NameID><\/span>klud<!-- comment --><\/span>wig<\/NameID><\/span>
<\/span><\/span><\/code><\/pre>提取结果为"klud"<\/p>
<\/li>

ElementTree等库<\/strong>：拼接所有文本节点

相同示例提取结果为"kludwig"<\/p>
<\/li>
<\/ol>
漏洞利用方式<\/h3>
攻击者可以构造如下恶意SAML响应：<\/p>
<NameID><\/span>user@user.com<!----><\/span>.evil.com<\/NameID><\/span>
<\/span><\/span><\/code><\/pre>
签名验证时，规范化处理会移除注释，验证通过<\/li>
某些XML库提取文本时只获取"user@user.com"<\/li>
攻击者使用"user@user.com.evil.com"账户，实际登录为"user@user.com"<\/li>
<\/ol>
影响范围<\/h2>
漏洞影响程度取决于：<\/p>


SP实现<\/strong>：<\/p>

使用宽松文本提取的库更易受攻击<\/li>
对用户标识符有额外验证(如域名白名单)的SP受影响较小<\/li>
<\/ul>
<\/li>

IdP配置<\/strong>：<\/p>

允许自由注册的IdP风险更高<\/li>
严格用户供应流程的IdP风险较低<\/li>
<\/ul>
<\/li>
<\/ol>
防御措施<\/h2>
对于服务提供商(SP)<\/h3>


更新SAML处理库<\/strong>：<\/p>

确保使用正确处理XML注释的版本<\/li>
测试NameID提取时包含注释的用例<\/li>
<\/ul>
<\/li>

规范化算法选择<\/strong>：<\/p>

使用WithComments<\/code>变体保留注释(需IdP支持)<\/li>
确保规范化算法标识符不被篡改<\/li>
<\/ul>
<\/li>

多因素认证<\/strong>：<\/p>

实施第二因素认证可降低风险<\/li>
注意：如果IdP处理所有因素，漏洞可能绕过全部认证<\/li>
<\/ul>
<\/li>
<\/ol>
对于SAML库开发者<\/h3>


正确文本提取<\/strong>：<\/p>

确保提取XML元素全部文本内容<\/li>
添加包含注释的测试用例<\/li>
<\/ul>
<\/li>

规范化后处理<\/strong>：<\/p>

在签名验证后使用规范化文档进行文本提取<\/li>
防止规范化引入的其他漏洞<\/li>
<\/ul>
<\/li>
<\/ol>
对于XML库开发者<\/h3>


API行为改进<\/strong>：<\/p>

考虑修改文本提取API默认行为<\/li>
提供明确的方法说明文档<\/li>
<\/ul>
<\/li>

标准完善<\/strong>：<\/p>

推动XML处理标准更加明确<\/li>
<\/ul>
<\/li>
<\/ol>
对于Duo用户<\/h3>
升级Duo Network Gateway至1.2.10或更高版本。<\/p>
漏洞披露时间线<\/h2>
Duo团队与CERT\/CC合作协调披露：<\/p>

漏洞发现与验证<\/li>
联系受影响厂商<\/li>
CVE分配与补丁开发<\/li>
公开披露<\/li>
<\/ol>
总结<\/h2>
此SAML漏洞揭示了XML处理中的深层次问题，特别是规范化与文本提取的不一致性。防御需要多方协作，包括库开发者更新实现、服务提供商加强验证、以及标准组织的规范完善。通过全面理解漏洞原理，组织可以更好地保护其SAML实现免受此类攻击。<\/p>

SAML XML注入漏洞分析与防御指南<\/h1>

漏洞技术原理<\/h2>

防御措施<\/h2>

对于Duo用户<\/h3> 升级Duo Network Gateway至1.2.10或更高版本。<\/p>

对于Duo用户<\/h3>
升级Duo Network Gateway至1.2.10或更高版本。<\/p>