Golden SAML Attack1 [Day 137] Golden SAML Attack 일반적인 SAML authentication process 1. User가 원하는 서비스(e.g. AWS, Office 365)에 엑세스 시도 2. 서비스는 인증을 위해 User를 ADFS로 리다이렉트 3. User는 Domain policy (e.g. Multi-Factor-Authentication)에 따라 ADFS로 인증 4. ADFS는 서명된 SAML response를 user machine에게 리턴 5. User는 원하는 서비스에 서명된 SAML response를 제시하고 엑세스 권한을 부여받음 Golden SAML Attack 절차 공격자는 우선 ADFS Server에 횡적 이동이나 권한 상승을 통해 관리자 권한을 획득해야 함 이러한 권한을 획득하면 다음 절차로 공격이 진행됨 1. 공격자는 A.. 2020. 12. 25. 이전 1 다음