Soru ADFS 3'ün x-frame-options HTTP başlığı nasıl manipüle edilebilir?


Varsayılan olarak, ADFS 3 yanıtları "X-Frame-Options: DENY" HTTP üstbilgisini içerir. Bu, ADFS'nin iframe içinde çalıştırılmasını engeller; çünkü bu, tıklatma saldırıları için bir fırsat sunar.

Şu anda şirketim bu güvenlik kuralına bir istisna yapılması gereken bir entegrasyon uyguluyor: belirli bir alandaki sayfalar meli Bir iframe içinde ADFS gömebilir.

Ancak bu, ADFS'nin bu kutunun dışında değiştirilmesine izin vermiyor gibi görünüyor. Peki bu HTTP üstbilgisini değiştirmenin en iyi yolu nedir?

Örneğin RFC'de önerildiği gibi (https://tools.ietf.org/html/rfc7034#section-2.3.2.3)?

  1. İstenen içeriği bir karede oluşturmak isteyen sayfa     kendi menşe bilgisini sağlayan sunucuya sağlar.     Bir sorgu dizesi parametresi ile çerçevelenecek içerik.

  2. Sunucu, ana bilgisayar adının kendi kriterlerini karşıladığını doğrular, böylece      Sayfa hedef kaynak tarafından çerçevelenmesine izin verilir. Bu      örneğin, güvenilir bir beyaz listenin arayışıyla olabilir      sayfayı çerçevelemesine izin verilen alan adları. Örneğin,      bir Facebook "Beğen" düğmesi için, sunucu bunu kontrol edebilir      sağlanan ana makine adı, bunun için beklenen ana makine adıyla eşleşir      "Beğen" düğmesi.

  3. Sunucu ana bilgisayar adını "X-Frame-Options: ALLOW-FROM" içinde döndürür    2. adımda uygun kriterler karşılanmışsa.

  4. Tarayıcı "X-Frame-Options: ALLOW-FROM" başlığını zorlar.

7
2018-06-16 10:35


Menşei


Hayır, varsayılan üstbilgileri değiştirmek için bir seçenek olduğuna inanmıyorum - Jim B


Cevaplar:


ADFS 3'ün önünde bir web sunucusunu ters proxy olarak kullanın ve HTTP üstbilgisini değiştirin. Bu ile yapılabilir Apaçi veya nginx. ADFS 3 bir proxy'ye sahip olmaktan hoşlanmayacağından, bunu teslim etmeden önce bunu iyice test edin. Bir Kavram Kanıtı sağlamanın bir yolu yok

Yönetmek için bir tane daha sunucu ve servis var, ama bunun bir gereklilik olduğunu anlıyorum tanışmalı


1
2018-03-31 18:24



(ADFS 3 HTTPS kullanmaktadır. Bu, HTTPS trafiğini şifresini çözmeden / yeniden şifrelemeden başlıkların değiştirilememesini sağlar.) - wkampmann
Hala mümkün - L7 müdahalesi yaparsınız. Yani 443HTTPS -> Nginx -> 443HTTPS -> ADFS3. Nginx ana bilgisayarının üzerinde geçerli bir sertifikaya ihtiyacı olacaktır. - Brennen Smith
Brennen'in belirttiği gibi, eğer yerel Yönetici iseniz, SSL sertifikalarına erişebilmeniz ve şifreleri çözebilmeniz -> üstbilgileri enjekte etmeniz -> yeniden şifrelemek - kamihack