SAML Shield yang baru diluncurkan oleh Stytch, sebuah tool keamanan open-source yang dirancang untuk melindungi dari kerentanan SAML, sedang memicu diskusi di komunitas developer tentang efektivitas dan potensi celah keamanannya. Tool ini bertujuan menyediakan lapisan keamanan untuk implementasi SAML, namun para ahli mengangkat pertanyaan penting tentang keterbatasan dan tantangan deployment-nya.
Opsi Deployment SAML Shield
| Opsi | Fitur | Keterbatasan |
|---|---|---|
| Open Source | • Library Node.js gratis<br>• Integrasi langsung<br>• Tidak bergantung pada layanan eksternal | • Hanya Node.js<br>• Batas payload XML 1MB<br>• Memerlukan pembaruan manual |
| Managed | • Dukungan API multi-bahasa<br>• Integrasi proxy ( NGINX , Istio )<br>• Pembaruan otomatis<br>• Dukungan backtesting yang direncanakan | • Memerlukan langganan<br>• Bergantung pada layanan eksternal<br>• Tidak dapat memeriksa assertion terenkripsi dalam mode proxy |
Kekhawatiran Kerentanan Dual Parser
Para peneliti keamanan menyoroti kekhawatiran kritis dengan mode deployment proxy SAML Shield. Masalah ini berasal dari penggunaan dua XML parser yang berbeda dalam rantai keamanan - xmldom di SAML Shield dan parser apapun yang digunakan aplikasi target. Pengaturan ini berpotensi memungkinkan penyerang untuk membuat dokumen berbahaya yang melewati pemeriksaan SAML Shield dengan mengeksploitasi perbedaan cara setiap parser menginterpretasikan struktur XML yang sama. Kerentanan terbaru seperti CVE-2025-25292 telah menunjukkan bagaimana perbedaan parser dapat dieksploitasi untuk menghindari langkah-langkah keamanan.
XML parser adalah komponen perangkat lunak yang membaca dan menginterpretasikan dokumen XML, mengubahnya menjadi format yang dapat digunakan aplikasi.
Perlindungan Replay Attack yang Tidak Lengkap
Pendekatan tool ini untuk mencegah replay attack telah menarik kritik dari para ahli keamanan. Saat ini, SAML Shield bergantung terutama pada pemeriksaan validitas berbasis timestamp daripada melacak identifier assertion yang unik. Metode ini meninggalkan celah yang dapat dieksploitasi oleh penyerang canggih dengan menggunakan kembali assertion yang valid dalam jendela waktu tersebut. Meskipun Stytch mengakui keterbatasan ini dan berencana mengimplementasikan pelacakan assertion ID server-side untuk versi managed mereka, versi open-source menghadapi tantangan dalam mempertahankan informasi state yang diperlukan.
Replay attack melibatkan penggunaan kembali data autentikasi yang sebelumnya ditangkap untuk mendapatkan akses yang tidak sah.
Kerentanan SAML yang Ditangani
- Pembungkusan tanda tangan XML: Manipulasi tanda tangan XML untuk melewati validasi
- Injeksi entitas: Penyisipan entitas berbahaya ke dalam dokumen XML
- Serangan replay: Penggunaan kembali pernyataan autentikasi yang valid
- Pernyataan tanpa tanda tangan: Pemrosesan pernyataan tanpa tanda tangan kriptografi yang tepat
Blind Spot Encrypted Assertion
Ketika di-deploy sebagai proxy, SAML Shield tidak dapat memeriksa encrypted SAML assertion karena tidak memiliki akses ke kunci dekripsi. Keterbatasan ini secara signifikan mengurangi efektivitas tool dalam lingkungan di mana enkripsi digunakan untuk data autentikasi yang sensitif. Organisasi yang menggunakan encrypted assertion perlu mengimplementasikan langkah-langkah keamanan tambahan dalam aplikasi mereka, yang berpotensi meniadakan beberapa manfaat kemudahan yang dijanjikan SAML Shield.
Upaya Kolaborasi Komunitas
Peluncuran ini telah memicu diskusi yang lebih luas tentang peningkatan keamanan SAML di seluruh ekosistem. Kontributor dari berbagai library SAML menyerukan repositori bersama dari test case eksploit yang diketahui yang dapat digunakan semua implementasi untuk validasi. Beberapa developer sudah bekerja pada tool komplementer, termasuk framework testing serangan SAML dan pendekatan alternatif menggunakan structural fingerprinting daripada pemeriksaan kerentanan spesifik.
Apa yang ingin saya lihat adalah repo publik dari test case eksploit SAML yang diketahui yang dapat divalidasi oleh setiap lib terhadap dirinya sendiri.
Meskipun ada kekhawatiran ini, para profesional keamanan umumnya memandang SAML Shield sebagai langkah maju yang positif. Tool ini mengatasi kerentanan nyata dalam implementasi SAML, dan keputusan Stytch untuk menawarkan versi open-source dan managed memberikan fleksibilitas untuk kebutuhan organisasi yang berbeda. Namun, konsensus komunitas menekankan bahwa SAML Shield harus menjadi bagian dari strategi keamanan yang komprehensif daripada solusi mandiri.
Diskusi yang sedang berlangsung menyoroti tantangan kompleks dalam mengamankan implementasi SAML dan kebutuhan untuk kolaborasi berkelanjutan antara vendor keamanan, kontributor open-source, dan komunitas developer yang lebih luas untuk mengatasi kerentanan yang persisten ini.
Referensi: Modernize your SAML SSO security.