失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは? − TechTargetジャパン セキュリティ
メモ
Confused Deputyは、シングルサインオンやID連携で利用される言語「Security Assertion Markup Language(SAML)」にも適用されるため、権限の悪用が可能になってしまう。
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは? - TechTargetジャパン セキュリティ
Adobe Systemsのセキュリティ研究者兼上級ソフトウェアエンジニアのアントニオ・サンソ氏が、SAMLを使用してWebサイトを検索しているときにConfused Deputy問題を発見した。Slackにログインを試みたとき、失効したはずのSAMLアサーション(表明)を使ってSlackにアクセスする権限が依然として与えられており、ログインに成功した。