OWASP和ADFS 2.0

Question

有没有安全资源/博客文章来说明ADFS2.0(或通用单点登录)在OWASP - Top 10 list of vulnerabilities中的好处？

关于ASP .NET的好资源(来自Troy Hunt的最好的)很少。但它们都没有提到ADFS2.0。ADFS 2.0 w.r.t对OWASP是否有任何增值作用(肯定有!!)？建设性的讨论也将受到欢迎。

Answer 1

你最好的选择是和Gunnar Peterson谈谈(搜索1raindrop)。他是SSO/SAML go to go的人特洛伊也很有价值，并且绝对与微软的产品组合保持一致。

排名前十的方法论是关于研究人员在发表前一年发现的(所以OWASP 2007年排名前十的方法是2006年弱点的总结)。不管是好是坏，研究人员并不经常接触到企业应用程序、堆栈或核心技术，如ADFS。那些这样做的人是为了看他们而付费的，不幸的是，这通常会导致保密协议。

一种更好的方法是我在应用程序安全验证标准和OWASP开发人员指南中采用的方法，即为构建人员提供构建帮助，因此您应该采取积极的、可验证的步骤来保护自己。

前10名是开始讨论的一篇很好的教育文章，但正如我在2007年前10名的介绍中所写的那样，2007年前10名(实际上是所有的)都不是标准！不要这样使用它们。

Jim Manico正在与无数的作者合作编写一个小抄系列。如果你有兴趣为OWASP做贡献，也许可以考虑ADFS或SSO的小抄？

谢谢，安德鲁