SSOの認証バイパス、SAML脆弱性発見者本人による解説 1枚目の写真・画像 | ScanNetSecurity
2025.03.01(土)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事 写真・画像

SSOの認証バイパス、SAML脆弱性発見者本人による解説 1枚目の写真・画像

シングルサインオン(SSO)は、複数のアカウントの認証を集中管理し、ユーザーはひとつのアカウント(ID・パスワード)で、各システムに安全にログインできるというもの。Blackhat USA 2018のあるセッションをもとにSSOの脆弱性について考えてみたい。

研修・セミナー・カンファレンス
Duo SecurityのエンジニアKelby Ludwig氏
≪撮影:中尾真二≫ Duo SecurityのエンジニアKelby Ludwig氏

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

マイル詐取や不正利用確認 ~ ANAマイレージクラブ会員へパスワード管理注意喚起 画像

マイル詐取や不正利用確認 ~ ANAマイレージクラブ会員へパスワード管理注意喚起
Movable Type 8.0.6 / 8.4.2 / 8.5.0 / 7 r.5507 のセキュリティアップデート提供開始 画像

Movable Type 8.0.6 / 8.4.2 / 8.5.0 / 7 r.5507 のセキュリティアップデート提供開始
Microsoft Windows OS の ksthunk.sys において特権の昇格につながる整数値オーバーフローの脆弱性(Scan Tech Report) 画像

Microsoft Windows OS の ksthunk.sys において特権の昇格につながる整数値オーバーフローの脆弱性(Scan Tech Report)
The LuxCal Web Calendar に複数の脆弱性 画像

The LuxCal Web Calendar に複数の脆弱性
ASUSTeK COMPUTER 製 Lyra mini に不適切な認証の脆弱性 画像

ASUSTeK COMPUTER 製 Lyra mini に不適切な認証の脆弱性
Movable Type に複数の XSS の脆弱性 画像

Movable Type に複数の XSS の脆弱性

インシデント・事故 記事一覧へ

「一撃オフィシャルショップ」に不正アクセス 7,455 名のカード情報漏えいの可能性 画像

「一撃オフィシャルショップ」に不正アクセス 7,455 名のカード情報漏えいの可能性
2022年から使用していないイベント専用ページに不正書き込み ~ 大分みらい信用金庫 画像

2022年から使用していないイベント専用ページに不正書き込み ~ 大分みらい信用金庫
宇都宮セントラルクリニックにランサムウェア攻撃、診察と健診業務を制限 画像

宇都宮セントラルクリニックにランサムウェア攻撃、診察と健診業務を制限
パスワードで保護「ホームページ改ざん及び不審メールについて復旧のお知らせと報告」 画像

パスワードで保護「ホームページ改ざん及び不審メールについて復旧のお知らせと報告」
「一切の忖度なしで事実と責任の所在を明確に」した調査報告書を公開 ~ 岡山県精神科医療センターへのランサムウェア攻撃 画像

「一切の忖度なしで事実と責任の所在を明確に」した調査報告書を公開 ~ 岡山県精神科医療センターへのランサムウェア攻撃
AIG損害保険の顧客情報漏えいの可能性 ~ 東京損保鑑定へランサムウェア攻撃 画像

AIG損害保険の顧客情報漏えいの可能性 ~ 東京損保鑑定へランサムウェア攻撃

調査・レポート・白書・ガイドライン 記事一覧へ

デロイト トーマツ 年次レポート「Deloitte Cyber Trends & Intelligence Report 2024」公表 画像

デロイト トーマツ 年次レポート「Deloitte Cyber Trends & Intelligence Report 2024」公表
社員 1,000 名以上の企業 約 5 割「グループ会社や子会社含めた全体が把握できていない」スリーシェイク調査 画像

社員 1,000 名以上の企業 約 5 割「グループ会社や子会社含めた全体が把握できていない」スリーシェイク調査
「インシデント発生企業の 90% は社内教育実施」 東証プライム 81 社 調査結果公表 画像

「インシデント発生企業の 90% は社内教育実施」 東証プライム 81 社 調査結果公表
フィッシングの 52 %はクラウドの認証情報がターゲット 画像

フィッシングの 52 %はクラウドの認証情報がターゲット
中小企業の 6 割「情報セキュリティ対策投資をしていない」 ~ 2024年度中小企業実態調査 速報 画像

中小企業の 6 割「情報セキュリティ対策投資をしていない」 ~ 2024年度中小企業実態調査 速報
日経225企業 17% DMARC未導入、「Reject」「Quarantine」ポリシーは 20%にとどまる 画像

日経225企業 17% DMARC未導入、「Reject」「Quarantine」ポリシーは 20%にとどまる

研修・セミナー・カンファレンス 記事一覧へ

妥協なき名古屋の製造業が求める“本当に使えるセキュリティ”とは? ~ ASM を補完する Trend Vision One - CREM の真価(東京講演も有) 画像

妥協なき名古屋の製造業が求める“本当に使えるセキュリティ”とは? ~ ASM を補完する Trend Vision One - CREM の真価(東京講演も有)
電子メールセキュリティの再評価機運高まる ~ NTTデータグループのメールセキュリティ強化事例講演 画像

電子メールセキュリティの再評価機運高まる ~ NTTデータグループのメールセキュリティ強化事例講演
セコムトラストシステムズ「かんたんで高品質なアタックサーフェス調査しませんか?」アーカイブ配信公開 画像

セコムトラストシステムズ「かんたんで高品質なアタックサーフェス調査しませんか?」アーカイブ配信公開
セキュリティ業界の革新を目指す 28 歳の若者 ~ Cloudbase PdM 大峠 和基 画像

セキュリティ業界の革新を目指す 28 歳の若者 ~ Cloudbase PdM 大峠 和基
3/5 開催「2025年最新版 10大脅威から考える 今こそ変える時、脆弱性診断へのAI活用」エーアイセキュリティラボ 画像

3/5 開催「2025年最新版 10大脅威から考える 今こそ変える時、脆弱性診断へのAI活用」エーアイセキュリティラボ
NISC、中小企業向けセミナー「経営層が知りたいセキュリティ対策」3/10 オンライン開催 画像

NISC、中小企業向けセミナー「経営層が知りたいセキュリティ対策」3/10 オンライン開催

製品・サービス・業界動向 記事一覧へ

公安調査庁「オウム真理教問題デジタルアーカイブ」を公開 画像

公安調査庁「オウム真理教問題デジタルアーカイブ」を公開
GSX と丸紅I-DIGIO が連携「Box設定診断サービス」提供開始 画像

GSX と丸紅I-DIGIO が連携「Box設定診断サービス」提供開始
NTTデータ先端技術「INTELLILINK AIセキュリティ診断 for LLMアプリケーション」提供 画像

NTTデータ先端技術「INTELLILINK AIセキュリティ診断 for LLMアプリケーション」提供
GMOサイバーセキュリティ byイエラエと台湾の工業技術研究院情報通信研究ラボラトリが業務提携、「SEMI E187」への適合支援コンサルと認証支援サービス提供 画像

GMOサイバーセキュリティ byイエラエと台湾の工業技術研究院情報通信研究ラボラトリが業務提携、「SEMI E187」への適合支援コンサルと認証支援サービス提供
公明党、能動的サイバー防御について見解 画像

公明党、能動的サイバー防御について見解
サイバーセキュリティ事業合弁会社「SMBCサイバーフロント株式会社」設立 画像

サイバーセキュリティ事業合弁会社「SMBCサイバーフロント株式会社」設立

おしらせ 記事一覧へ

予約受付開始:ScanNetSecurity2024年鑑.pdf 画像

予約受付開始:ScanNetSecurity2024年鑑.pdf
編集部からのおしらせ「メンテナンスのため 2 月 24 日 (月) 天皇誕生日振替休日の夜 24 時~翌朝 5 時頃まで会員記事にログインできなくなります」 画像

編集部からのおしらせ「メンテナンスのため 2 月 24 日 (月) 天皇誕生日振替休日の夜 24 時~翌朝 5 時頃まで会員記事にログインできなくなります」
編集部からのおしらせ「Black Hat USA 2025 CFP 応募準備中の若手技術者の方へ」 画像

編集部からのおしらせ「Black Hat USA 2025 CFP 応募準備中の若手技術者の方へ」
追記:編集部からのおしらせ「2月3日(月) 13:44 頃に Scan PREMIUM 月間個人会員に関するお問い合わせをなさった方へ」 画像

追記:編集部からのおしらせ「2月3日(月) 13:44 頃に Scan PREMIUM 月間個人会員に関するお問い合わせをなさった方へ」
編集部からのおしらせ「2月3日(月) 13:44 頃に Scan PREMIUM 月間個人会員に関するお問い合わせをなさった方へ、メールアドレスが有効ではなく連絡がとれません」 画像

編集部からのおしらせ「2月3日(月) 13:44 頃に Scan PREMIUM 月間個人会員に関するお問い合わせをなさった方へ、メールアドレスが有効ではなく連絡がとれません」
創刊 26 周年記念キャンペーンのおしらせ(5)ScanNetSecurity が廃刊危機を脱した理由 画像

創刊 26 周年記念キャンペーンのおしらせ(5)ScanNetSecurity が廃刊危機を脱した理由
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×