En son tespit edilen bir güvenlik açığı bazı SAML SSO uygulamalarında saldırganın başka bir kullanıcı taklit edebilmesini ve bu kullanıcının yetkisiyle işlem yapabildiğini gösteriyor. Güvenlik açığı ile ilgili detayları https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations adresinde bulabilirsiniz.
Peki ben konuyu neden bu kadar kısa kesiyorum? 😊 Çünkü eğer kurumunuzda Azure Active Directory, Azure Active Directory B2C ve Microsoft Windows Server Active Directory Federation Services (ADFS) kullanıyorsanız bu güvenlik açığından ETKİLENMİYORSUNUZ. Ayrıca Hotmail.com, Outlook.com gibi Microsoft hesabı kullanan sistemler de bu açıktan ETKİLENMİYOR. Bu kadar da değil, Windows Identity Foundation (WIF) veya ASP.NET WS-Federation da bu açıktan ETKİLENMİYOR.
Bu sebeple eğer farklı SAML tabanlı uygulama kullanan hizmet sağlayıcılarınız varsa onlara bu konuyu bir sorun derim. 😊