aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc
diff options
context:
space:
mode:
authorThomas Lenz <tlenz@iaik.tugraz.at>2020-08-31 10:22:11 +0200
committerThomas Lenz <tlenz@iaik.tugraz.at>2020-08-31 10:22:11 +0200
commite10256fe93208ef786d2e38a68a98e2548d501ee (patch)
treea5c1c97936cdd635db7a24164f796be6be5413ee /id/server/doc
parentc4633dffe99d4cc41e25fe165b6b8b5013ea34bd (diff)
downloadmoa-id-spss-e10256fe93208ef786d2e38a68a98e2548d501ee.tar.gz
moa-id-spss-e10256fe93208ef786d2e38a68a98e2548d501ee.tar.bz2
moa-id-spss-e10256fe93208ef786d2e38a68a98e2548d501ee.zip
fix SSRF bug in SAML1 parameter validator
Diffstat (limited to 'id/server/doc')
-rw-r--r--id/server/doc/handbook/config/config.html7
1 files changed, 7 insertions, 0 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 9a90d1c49..62bde84bc 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -432,6 +432,13 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
<p><strong>Hinweis: </strong>Workaround, da der httpClient der openSAML2 Implementierung kein SNI (Server Name Indication) unterst&uuml;tzt.</p></td>
</tr>
<tr>
+ <td>configuration.validate.saml1.parameter.strict</td>
+ <td>true / false</td>
+ <td><p>Aktiviert oder deaktiviert die strikte Validierung von SecurityLayer Template URLs welche via HTTP Parameter &quot;template&quot; (siehe <a href="../protocol/protocol.html#saml1_startauth">SAML1 Protokoll)</a> angegeben werden k&ouml;nnen. Wenn dieser Parameter aktiviert (<em>true</em>) sind ausschlie&szlig;lich Tempalte URLs erlaubt die entweder in <a href="#konfigurationsparameter_allgemein_sl-templates">Allgemeinen Konfiguration</a> oder in der <a href="#konfigurationsparameter_oa_bku">jeweiligen SP Konfiguration</a> konfiguriert sind. Ist die strikte Validierung deaktiviert (<em>false</em>) sind zus&auml;tzlich alle Template URLs erlaubut welche vom selben Host liegen wie die MOA-ID Instanz. </p>
+ <p>&nbsp;</p>
+ <p><strong>Defaultwert:</strong> false</p></td>
+ </tr>
+ <tr>
<td>configuration.validate.authblock.targetfriendlyname</td>
<td>true / false</td>
<td>Hiermit kann die &Uuml;berpr&uuml;fung des 'TargetFriendlyName', welcher Teil des vom Benutzer signierten Authblock ist, deaktiviert werden. Eine Deaktivierung hat keinen Einfluss auf die Sicherheit des Authentifizierungsvorgangs mittels qualifizierter Signatur, jedoch kann der 'TargetFriendlyName im Authblock nicht als gesichert betrachtet werden.' Die Validierung ist deaktiviert wenn der Parameter auf <code>false</code> gesetzt wird.<br>