代码审查Collaborator教程:单点登录——通过SAML配置单点登录(上)

最新推荐文章于 2023-06-07 10:30:00 发布
最新推荐文章于 2023-06-07 10:30:00 发布
阅读量282 收藏
点赞数
文章标签: Collaborator 代码审查 单点登录 SAML
原文链接:https://support.smartbear.com/collaborator/docs/server/admin-tasks/single-sign-on/saml.html
版权

Collaborator是一款功能全面的代码审查工具。其代码审查可以为开发测试人员和管理者提供帮助,生产出高质量的代码。团队可以用它在一个透明、共同的框架中进行同行代码审查、用户示例和测试计划的编辑。感兴趣的朋友可以下载最新版试用一下哦~

点击下载Collaborator最新版

本篇文章介绍如何使用安全断言标记语言(SAML)协议在SSO服务器和Collaborator之间建立单点登录。要了解单点登录的一般原理,请参阅单点登录

在SAML术语中,SSO服务器将充当身份提供商(IdP),Collaborator将充当服务提供商。下面我们将介绍如何在Collaborator和OneLogin SSO服务器之间建立单点登录。

(可选)启用HTTPS连接

单点登录服务器大多使用HTTPS连接,因此您可能还需要为Collaborator服务器启用它。有关说明,请参阅配置HTTPS。不要忘记重新启动Collaborator服务器来更改应用。

安装和配置SSO服务器

1、安装首选SSO服务器。在本说明中,我们将使用OneLogin SSO服务器。

2、以帐户所有者或超级用户身份登录SSO服务器。

3、添加新应用程序集成:

  • 从主菜单中选择应用程序>添加应用程序

  • 搜索SAML测试连接器(IdP)类型的应用程序。

10saml-add-app.png

  • 指定应用程序显示名称和其图标(可选),然后单击“保存”。

  • 切换到“配置”选项卡并指定以下数据:

听众

预期接收SAML消息的实体的URL。在我们的示例中,这将是Collaborator服务器的URL。

例如:https://yourcollabserver.com。

注意:您的Collaborator服务器必须可供SSO服务器访问。配置防火墙或启用隧道连接来执行此操作。

ACS(消费者)URL

将发送SAML响应的断言使用者服务(ACS)的URL。

Collaborator服务器在以下端点提供此服务:https://yourcollabserver.com/services/saml/acs

ACS(消费者)URL验证器

用于验证ACS URL的正则表达式。

例如:^https:\/\/yourcollabserver\.com\/services\/saml\/acs\/$。

单点注销URL

将注销请求发送到的端点的URL。

Collaborator服务器具有以下注销端点:https://yourcollabserver.com/services/saml/logout

  • 切换到“参数”选项卡,并附加两个名称为:FirstNameLastName的断言参数。对于这两个参数,请启用“包括在SAML断言”选项。这些参数将分别包含用户的名和姓。(可选)修改NameID参数以将用户名而不是电子邮件地址作为主用户标识符。您还可以使用NameID参数或添加一个参数来存储LDAP用户名,以通过LDAP或Active Directory同步组成员身份。请参阅下面的“将用户组成员资格与LDAP / Active Directory同步”。

11saml-app-params.png

 

  • 单击保存以确认应用程序配置更改。

4、将用户分配给创建的Collaborator SAML连接器应用程序。

  • 从主菜单中选择用户>所有用户

  • 单击所需的用户。

  • 切换到Applications选项卡。

  • 单击加号可将应用程序分配给用户。

12saml-assign-user.png

  • OneLogin中的用户应用程序屏幕

确保在Collaborator服务器和OneLogin中有matchin用户帐户——也就是说,OneLogin用户名必须与Collaborator用户相同。此外,创建至少一个与Collaborator管理员帐户匹配的OneLogin用户帐户;通过SSO使用此帐户登录将以管理员身份登录Collaborator服务器。

5、从菜单中选择应用程序>公司应用程序,单击Collaborator SAML连接器应用程序,然后切换到SSO选项卡。

13saml-sso-tab.png

此选项卡包含您必须提供给Collaborator服务器以完成集成的SAML元数据。

本篇文章内容较多,敬请期待下半部分内容

weixin_45414340
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SqlmapDnsCollaborator:Burp扩展,可​​让您将Burp Collaborator用作DNS服务器,以通过Sqlmap渗出数据
02-14
SqlmapDnsCollaborator SqlmapDnsCollaborator是一个Burp扩展,可​​让您使用零配置的Sqlmap执行DNS渗透。 您将不需要DNS服务器或公共IP,只需一台具有Sqlmap和Burp的计算机即可。 通常如何使用Sqlmap执行DNS渗透: 您设置了DNS服务器! 您在该服务器上运行Sqlmap,该服务器对易受攻击的目标执行一些SQL注入。 易受攻击的目标将包含有趣数据的DNS请求发送到您的DNS服务器。 DNS请求由Sqlmap解释。 如何使用Sqlmap和SqlmapDnsCollaborator执行DNS渗透: 您在计算机上打开Burp并启用SqlmapDnsCollaborator。 您在计算机上运行Sqlmap,这会对易受攻击的目标执行一些SQL注入。 易受攻击的目标将包含有趣数据的DNS请求发送到Burp Colla
Burp Collaborator-带外工具
热门推荐
ST0new的博客
02-27 1万+
Burp Collaborator 什么是Burp Collaborator? Burp Collaborator 是 OAST的产物,它可以帮你实现对响应不可见和异步的一个漏洞检测。 目前 Burp 发布的新版本中默认携带了 Burp Collaborator 模块 Burp Collaborator 原理 Burp Collaborator 模型 参考上文带外攻击模型 Burp Collaborator 有自己专用域名 burpcollaborator.net,类似于ceye平台,有一个权威DNS服务器
Burp Collaborator 使用总结
发哥微课堂
04-07 1万+
0x00:使用原因 我们在做渗透测试的时候,经常会遇到这种情况,测试跨站可能有些功能插入恶意脚本后无法立即触发,例如提交反馈表单,需要等管理员打开查看提交信息时才会触发,或者是盲注跨站,盲打 XSS 这种。再例如 SSRF,如果程序不进行回显任何信息,而只提示你输入的是否合法,那么也无法直接判断程序存在 SSRF 漏洞,我们可以叫盲 SSRF。再例如 XXE,引入外部文件时,如果程序也不返回任何...
【渗透测试】如何利用burpsuite测试无回显漏洞
WANGJUNAIJIAO的博客
06-07 189
前面的文章讲了在windows和linux上的不同的无文件渗透测试的方法,那么这篇文章给大家讲解如何在漏洞没有回显的情况下,利用burpsuite自带插件进行测试的方式。首先我们稍微提一下有哪些无回显的漏洞,一般有盲注(SQL注入的一种)、盲XXE(XML外部实体注入的一种)、命令执行、一些特殊的框架漏洞/没有回显的SSRF漏洞等,这些漏洞在正常测试时都没有回显,所以。打开burpsuite后,左上角Burp标签内有个Collaborator(只有pro版本有,免费版本没有。
入侵检测——BurpSuite
LainWith的博客
01-13 3257
目录介绍ping测试流量分析规则TCP型流量分析规则 介绍 BurpSuite里面有一个类似DNSlog的功能。它生成的域名中存在.burpcollaborator.net,可以利用此特征防御BurpSuite带外通道攻击。这种攻击方式还是蛮流行的,一周就能收到近10W条告警。 ping测试 普通ping 2. 获取测试结果 流量分析 查看icmp协议的内容,data部分没啥可看的 2. 查看dns协议的内容,及追踪流 看到了访问的地址 规则 规则检测.burpcollaborator.
Collabfiltrator:通过Burp Collaborator提取DNS上的盲目的远程代码执行输出
03-20
通过Burp Collaborator提取DNS上的盲目的远程代码执行输出。 版本:2.0 作者: 从下载Collabfiltrator 要求: Burp Suite Professional 1.7.x或更高版本 支持: 支持的目标: 视窗 Linux 用法: 从下拉菜单中选择一...
add-collaborator:将协作者添加到所有github存储库中
05-02
$ add-collaborator repos 将协作者与存储库同步$ add-collaborator sync 一次都做$ add-collaborator repos sync 再次询问有关github身份验证和设置的问题$ add-collaborator repos sync -f 通过命令行提供标志以...
基于Code_Collaborator和Review_board的代码审工具试用对比说明.pdf
11-23
基于Code_Collaborator和Review_board的代码审工具试用对比说明.pdf
collaborator:BurpSuite StandardPrivate合作者库
05-24
合作者 BurpSuite标准/私人协作者库
collaborator试用与安装说明
10-10
collaborator安装说明之前只有英文版,这是中文版的,比较详细。需要安装的朋友可以看看。
SAML-XXE-Test:专为SAML接口生成的简单XXE测试套件
05-18
SAML-XXE-测试 一个专门为SAML接口生成的简单XXE测试套件。 介绍 是一种基于XML的标记语言,SAML端点使用的XML解析器可能容易受到。 SAML消息通常使用Base64Url()编码进行传输,并且可能会另外放气(取决于所使用的SAML绑定)。 这使得测试XXE漏洞更加困难,因为在评估SAML端点的XXE漏洞时需要将编码应用于每个测试向量。 saml_xxe_test.py自动执行所需的编码,并附带一组预定义的默认测试向量,其中大多数尝试激发带外反馈。 使用saml_xxe_test.py ,安全审核员可以半自动检查SAML端点是否存在XXE漏洞。 以最简单的形式运行saml_xxe_test.py仅需要两个参数: ./saml_xxe_test.py -f url_file.txt -t TARGET 在这里, url_file.txt包含由审核员设置的侦听器服务的
CollaboratorPlusPlus
04-15
CollaboratorPlusPlus NCC Group Plc作为开源发布-http: 由Corey Arthur开发, 此项目是在AGPL下发布的,请参阅LICENSE以获取更多信息。 从下载版本。 背景 该工具旨在扩展Burp Suite提供的现有Collaborator功能,提供许多生活质量功能,并实施身份验证机制以保护私人协作者的部署,同时仍与生成和轮询Collaborator的所有现有扩展兼容上下文。 CollaboratorPlusPlus充当Burp与已配置Collaborator服务器之间的代理,从而允许捕获客户端使用的Collaborator上下文。 然后,CollaboratorPlusPlus可以在中央界面中存储和显示观察到的上下文及其检索到的交互。 此外,可以手动轮询旧的上下文,即使关闭了Collaborator客户端窗口之后,也可以检索交互。
saml-idp, node的简单SAML身份提供程序( IdP ).zip
10-10
saml-idp, node的简单SAML身份提供程序( IdP ) 简介这个应用程序提供一个简单的标识提供者( IdP ) 来测试使用 SAML 2.0网络浏览器SSO配置文件的SAML 2.0服务提供者( SPs ) 。本示例不打算与生产系统一起使用 ! Docker 安装和启动docker组
Burp Suite documentation - contents
子曰小玖的博客
04-25 603
Burp Suite documentation Documentation Desktop editions Getting started Launching Burp Startup wizard Selecting a project ...
Burpsuite之Burp Collaborator模块介绍
weixin_30852419的博客
08-01 1113
Burp Collaborator.是从Burp suite v1.6.15版本添加的新功能,它几乎是一种全新的渗透测试方法。Burp Collaborator.会渐渐支持blind XSS,SSRF,asynchronous code injection等其他还未分类的漏洞类型。 本文主要介绍使用Burp Collaborator.对这几种类型漏洞进行探测。 概念:In-band a...
okta/sf平台实现saml2.0单点登录集成实战(详细步骤+完整代码)
bigbearxyz的博客
06-06 3312
步骤详细的完全实战文章,基于Springboot+SpringSecurity+Saml2.0实现单点登录
BurpSuite-Collaborator插件介绍 附最新burp破解版地址
weixin_46137328的博客
02-17 3254
0x00:前情概述我们在做渗透测试的过程中发送完payload之后都能及时获得执行的结果吗?不一定。就比如说我们在留言处插入一条XSS语句“<script>alert(1)&...
SAML单点登录-spring-security-saml 整合使用
LuckyTHP
07-07 6587
springboot security saml2
代码审查Collaborator教程单点登录——通过SAML配置单点登录(下)
weixin_45414340的博客
08-07 218
Collaborator是一款功能全面的代码审查工具。代码审查可以为开发测试人员和管理者提供帮助,生产出高质量的代码。团队可以用它在一个透明、共同的框架中进行同行代码审查、用户示例和测试计划的编辑。喜欢的朋友可以下载Collaborator试一试哦~ 点击下载Collaborator最新版 本篇文章介绍如何使用安全声明标记语言(SAML)协议在SSO服务器和Collaborator之间建立单点...
burpsuite的collaborator模块
最新发布
07-27
Collaborator模块通过创建一个特殊的域名,并将其插入到应用程序的相关请求中,来检测这些漏洞。当应用程序与Collaborator服务器进行交互时,Collaborator模块可以捕获并分析这些交互,并产生有关漏洞的详细报告。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值