跳转至

伪造Web凭证

对手可能会伪造可用于访问Web应用程序或互联网服务的凭证材料。Web应用程序和服务(托管在云SaaS环境或本地服务器上)通常使用会话cookie、令牌或其他材料来验证和授权用户访问。 对手可能会生成这些凭证材料以访问Web资源。这与窃取Web会话Cookie窃取应用程序访问令牌和其他类似行为不同,因为这些凭证是由对手新生成的,而不是从合法用户那里窃取或拦截的。 生成Web凭证通常需要秘密值,例如密码、私钥或其他加密种子值。(引用: GitHub AWS-ADFS-Credential-Generator) 对手还可能通过利用AWS中的AssumeRoleGetFederationToken API功能来伪造令牌,这些功能允许用户请求临时安全凭证(即临时提升的云访问),或通过Zimbra中的zmprov gdpak命令生成预认证密钥,该密钥可用于为域中的任何用户生成令牌。(引用: AWS Temporary Security Credentials)(引用: Zimbra Preauth) 一旦伪造,对手可能会使用这些Web凭证访问资源(例如使用替代认证材料),这可能绕过多因素和其他身份验证保护机制。(引用: Pass The Cookie)(引用: Unit 42 Mac Crypto Cookies January 2019)(引用: Microsoft SolarWinds Customer Guidance)