SSO(single-sign-on) and NTLM

最新推荐文章于 2022-03-06 23:09:14 发布
最新推荐文章于 2022-03-06 23:09:14 发布
阅读量391 收藏 1
点赞数
分类专栏: Web安全 文章标签: ntlm sso oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/106692791
版权

什么是单点登录

说个简单场景:

在account.xiaomi.com输入账号密码登录之后,①打开dev.mi.com并点击登录,这时候不需要再次输入账号密码就可以登录;②打开iot.mi.com并点击登录,也不需要再次输入账号密码就可以登录

这就是单点登录,dev/iot均使用了account账号体系,只需要登录一次

(不过在dev或iot注销登录之后,account也会被注销,这个逻辑显得有点奇怪)

单点登录可复用的技术有oauth/saml等

好处

最明显的好处就是使用方便,免去了多次输入密码的麻烦。

当然还是便于账号管理,功能复用

坏处

坏处也是明显的,泄露一个账号,所有关联系统内容都被窃取

最著名的例子就是Windows的ntlm单点登录,不仅容易泄露,而且可以重放

简单的file://responder-ip/xx/xx.png链接就会将hash泄露到responder-ip服务器上:responder工具

ntlm格式

 

重放攻击:https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html

其他 https://mgp25.com/research/infosec/Leaking-NTLM-hashes/

生成各种格式的钓鱼文档https://github.com/Greenwolf/ntlm_theft,用来窃取ntlm hash

 

ntlm泄露防范措施

对于外网攻击:屏蔽445端口的出口通信

对于内网攻击:非必要关闭smb协议,没有其他有效办法

 

另外,SSO实现过程中也会出现各种各样的安全漏洞,也算是一个小弊端

深入浅出_balance
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO解决方案大全-Single-Sign-On-for-everyone.docx
09-04
技术分享:SSO解决方案大全
xxl-sso-core-1.1.1-SNAPSHOT.jar
09-11
xxl/sso 核心处理包
单点登录saml
04-10
aml是一种xml格式的语言。 翻译过来大概叫 安全断言(标记)语言。 这里有两个点: 第一是“安全”, 第二是“断言(assertion)”。 用人话翻译saml就是 用安全的方式表达断言一种语言。 先看它的核心概念“断言”。 断言是什么? 就是做出判断的语言。比如一句话: 小明是超级管理员。 这就是一个断言。再来一个例子:小红没有权限读取根目录。这也是一个断言。 这种“做出判断的语句”我们在很多场合都需要用到。 比如你在网上尝试登陆一个服务的时候, 这个服务需要知道你是不是合法的用户。 这个时候如果你能提供一个“安全,可靠,可信任”的断言:“小明有权登陆XX服务”, 那么这个服务就知道你合法了, 于是就能为你提供服务了。 这个例子比较抽象,但基本上能表达断言在实际用例中的作用了。 实际上saml的大部分用例就在于证明你是谁,你拥有什么权限等等了。 saml中大部分主要内容也都是类似于:你是谁, 你有什么。。等等这些简单的语句。 详细内容后面会介绍。 接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止断言被假冒,篡改。saml中加入了安全措施。 当然现今能抵御假冒,篡改,重放攻击的利器就是公钥-私钥系统了。 通过给断言加上签名和加密,再结合数字证书系统就确保了saml不受攻击。
SSO-Single-Sign-on实战.docx
09-04
技术分享:SSO_Single_Sign-on实战
single-sign-on-v2
12-19
自定义的单点登录系统,可返回各个子系统的登录页及支持CAS Server集群。(https://github.com/liyingqiao121727/single-sign-on-v2)
java对接ntlm,httpclient 实现自动登录NTLM 域验证(sso) .
weixin_39594457的博客
03-15 1499
最近一个项目拿到客户那运行不了。原来我的这个项目要和另一个系统通过http的接口进行通讯。但在客户的生产环境中,那套系统将web应用的登录和Windows Domain的登录结合,做了一个sso单点登录(jcifs实现)。那么我必须要修改我的程序,好自动登录Windows Domain。通过抓包分析,局域网使用的是NTLM 协议。当通过浏览器访问被NTLM协议保护的资源的时候,NTLM的认证方式和...
NTLM SSO的实现
Zou Fei's BLOG
07-17 7476
NTLM SSO的实现最近项目中要求实现Web应用的SSOSingle Sign On),即对于已经登录到Windows Domain中的用户,不需要输入用户名、密码而直接使用当前登录的Domain用户信息进行验证,如果验证成功则进入,否则拒绝进入。 在网上搜了一些资料,同时也对NTLM的认证方式有了些了解,记录之。 NTLM HTTP认证过程如下:   
NTLM认证
路虽远,行将至。事虽难,做必达。
03-06 1万+
NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。 NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM协议的认证过程分为三步: 1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2) 2、质询:就是挑战/响应认证机制起作用
AD域单点登陆NTLM
04-12
java 基于NTLM协议集成AD账号域登录 内含JAR包,DEMO包以及说明文档
httpclient 实现自动登录NTLM 域验证(sso
管子(zero)的杂乱空间
04-10 955
最近一个项目拿到客户那运行不了。原来我的这个项目要和另一个系统通过http的接口进行通讯。但在客户的生产环境中,那套系统将web应用的登录和Windows Domain的登录结合,做了一个sso单点登录(jcifs实现)。那么我必须要修改我的程序,好自动登录Windows Domain。 通过抓包分析,局域网使用的是NTLM 协议。 当通过浏览器访问被NTLM协议保护的资源的时候,NT...
Single-sign-on
04-08
Single sign-on (SSO) is a property of access control of multiple related, but independent software systems. With this property a user logs in once and gains access to all systems without being prompted to log in again at each them.
CAS单点登录SSO( Single Sign-On)
04-26
NULL 博文链接:https://572327713.iteye.com/blog/2356519
NTLM 协议
oscar999的专栏
02-10 1万+
早期SMB协议在网络上传输明文口令。后来出现 LAN Manager Challenge/Response 验证机制,简称LM,它是如此简单以至很容易就被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM。 现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLM是windows早期安全协议,因向后兼容性而保留下来。NTLM是NT LAN Manager的缩写,即NT LAN管理器。 windows NT 系统大概是 微软1997年发表的,从Win2000开始默认协议为Ke
NTLM SSO
chonglilong2976的博客
05-14 150
NTLM SSO的实现最近项目中要求实现Web应用的SSOSingle Sign On),即对于已经登录到Windows Domain中的用户,不需要输入用户名、密码而直接使用当前登录的Domain用户信息进行验证,如果验证成功则进入,否则拒绝进入。 在网上搜了一些资料,同时也对NTLM的认...
了解一下NTLM
rital的专栏
06-09 1204
NTLM 在客户机与服务器之间提供身份认证的安全包。NTLM   身份验证协议 是 质询/应答身份验证协议,是Windows   NT   4.0   及其早期版本中用于网络身份验证的默认协议。Windows   2000   中仍然支持该协议,但它不再是默认的。    NTLM身份验证过程:ntlm 是用于 Windows NT 和 Windows 2000 Server 工作组
NTLM 工作原理概述
Matthew的博客
12-28 8727
NTLM 工作原理概述 1. 为何采用NTLM 微软采用 Kerberos 作为 Windows 2000及之后的活动目录域的默认认证协议。当某个服务器隶属于一个Windows 服务器域或者通过某种方式(如Linux到Windows AD的认证)与Windows 服务器域建立了信任关系的时候,通常采用Kerberos作为认证协议。但是无论你是否拥有活动目录域,NTLM都可以被采用。
NTLM
swt198852的专栏
10-28 4000
NTLM: 基本知识 telnet的一种验证身份方式,即Windows NT LAN Manager (NTLM); NTLM 是为没有加入到域中的计算机(如独立服务器和工作组)提供的身份验证协议; 基于一种“提问 - 答复”机制来进行客户端验证; 使用http状态码和http头; 工作流程 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的
Access-control-allow-origin:*并没有实际危害(更新)
热门推荐
balance的博客
04-23 6万+
一、网站一般在需要共享资源给其他网站时(跨域传递数据),才会设置access-control-allow-origin HTTP头。而跨域传递数据也可以使用jsonp方式 二、如果www.a.com域设置了access-control-allow-origin:* http头, 其他任何域包括www.b.com域的js就可以使用Ajax技术读取到​www.a.com域的数据 三、根据w3...
sso对接sap-sf
最新发布
09-20
对接SAP SF,意味着将SSO机制集成到SF应用中。 在实施SSO对接SAP SF时,需要采取以下步骤: 1. 配置身份提供商(IdP):选择一个可信任的身份提供商,如Active Directory Federation Services(AD FS)或其他支持...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值