Voglio analizzare il protocollo SSO / traffico che viene distribuito in un ambiente reale, come ad esempio un sito web commerciale. La sfida è che la maggior parte di loro sono black-box.
Scenario 1 . Ho letto diversi articoli sull'analisi SSO. Molti di loro hanno sviluppato un proprio analizzatore di traffico SSO, che può trasformare il traffico HTTP relativo a SSO in un formato leggibile dall'uomo. Ma normalmente non spiegano i dettagli tecnici e pubblicano i loro strumenti.
Scenario 2 . Un altro metodo che qualcuno mi ha consigliato qui è da analizzare attraverso il debugger del browser web. Ma la sfida è che: 1. il traffico HTTP mostrato nel debugger non è leggibile dall'uomo; 2. Troppo traffico HTTP per mettere a fuoco solo SSO.
Scenario 3 . Ho provato diversi componenti aggiuntivi del browser, come SAML Tracer (chrome) e SSO Tracer (firefox). È stato utile tracciare il traffico SSO in sito web demo solo, ma fallito in siti web commerciali, come Google / Facebook / Yahoo-login siti web abilitati (provider di servizi SSO per IDP openID / saml).
Le mie domande sono:
-
Qual è il motivo per lo scenario 3?
-
Per favore suggerisci una metodologia pratica per analizzare il traffico SSO.