BurpSuite est un outil incontournable en ce qui concerne l’analyse, l’édition, le rejeu et le débug d’échanges web HTTP/HTTPS. SAML Raider est une nouvelle extension pour cet outil afin de faciliter le troubleshooting et les tests des environnements fédérés.
Très souvent employé par les auditeurs, pentesteurs, développeurs web et intégrateurs, l’outil BurpSuite étend son panel d’extension avec “SAML Raider” dans sa version 1.1.1. En effet, peu d’outils performants existent à ce jour pour réaliser du débug, de la dissection, de l’analyse ou du troubleshooting au sein d’échange de données via le standard protocolaire de fédération des identités : SAML.
BurpSuite agit comme un proxy, capturant / sniffant / interceptant toutes les trames HTTP/HTTPS pouvant transiter lors d’un échange web, avec possibilité de rejeu, modification, altération de ces échanges.
En ce qui concernant les échanges SAML, qui font transiter des données au format XML la plupart du temps signées voire chiffrées, il est parfois compliqué d’en analyser le contenu avec des tracers ou analyseurs de trames type Wireshark ou Fiddler.
Le navigateur Firefox proposait déjà une extension permettant de faciliter ces analyse : SAML tracer.
Avec SAML Raider intégré à BurpSuite, les possibilités et facilité d’analyse décuplent. Cette extension est divisée en deux parties : “SAML message editor” et “Certificate Management tool”.
Fonctionnalités du “SAML message editor” :
- Sign SAML Messages
- Sign SAML Assertions
- Remove Signatures
- Edit SAML Message
Preview eight common XSW Attacks - Execute eight common XSW Attacks
- Send certificate to SAMl Raider Certificate Management
- Undo all changes of a SAML Message
- Supported Profiles: SAML Webbrowser Single Sign-on Profile, Web Services Security SAML Token Profile
- Supported Bindings: POST Binding, Redirect Binding, SOAP Binding
Fonctionnalités du “Certificate Management tool” :
- Import X.509 certificates (PEM and DER format)
- Import X.509 certificate chains
- Export X.509 certificates (PEM format)
- Delete imported X.509 certificates
- Display informations of X.509 certificates
- Import private keys (PKCD#8 in DER format and traditional RSA in PEM Format)
- Export private keys (traditional RSA Key PEM Format)
- Cloning X.509 certificates
- Cloning X.509 certificate chains
- Create new X.509 certificates
- Editing and self-sign existing X.509 certificates
Cette extension intègre également 8 automatisations d’attaques XSW les plus communes à l’encontre des signatures (XML Signature Wrapping), ce qui intéressera très certainement les auditeurs et pentesteurs et prend place au sein des outils de pentest employés par les consultants SYNETIS lors de nos tests d’intrusion pour nos clients.
Sources & ressources :
- BurpSuite
- SAML tracer plugin pour Firefox
- SAML Raider – GitHub
- SAML Raider v1.1.1 – SAML2 Burp Extension – Toolswatch
- Download SAML Raider 1.1.1
Yann
Consultant Sécurité
[:]