伪造Web凭证: 跨域联合身份伪造

跨域联合身份伪造（Cross-Domain Federated Identity Forgery）是一种利用身份联合信任关系生成跨系统访问凭证的高级攻击技术。攻击者通过伪造SAML断言、OAuth令牌或OpenID Connect身份声明，在多个互信域间构造合法的单点登录凭证。该技术深度利用企业身份提供商（IdP）与服务提供商（SP）之间的信任链，通过密码学手段生成可跨域传递的认证断言，实现从低权限域向高价值域的权限跃迁。

该技术的匿迹机制建立在对联合身份协议栈的协议级模拟与信任链滥用。攻击者首先通过钓鱼攻击或配置漏洞获取联合身份元数据（如IdP公钥证书、SP实体描述文件），随后构造符合SAML 2.0或OIDC规范的恶意断言。技术实现包含三个关键环节：其一，精确复现目标身份联合流程的协议交互序列，包括正确的HTTP绑定方式（如POST/Redirect）、合法的RelayState参数及符合规范的签名摘要算法；其二，利用从属域身份信息构造跨域权限声明，通过角色属性注入提升权限级别；其三，采用时间窗口攻击策略，在合法用户完成实际认证后立即注入伪造断言，利用SP系统的会话缓存机制实现"搭车"访问。此类伪造凭证在协议合规性、密码学完整性和业务流程逻辑层面均与合法凭证无异，可有效规避基于行为分析的检测系统。