Keycloak身份认证系统分析 (security.humanativaspa.it)

HN Security团队在对客户的Keycloak身份认证系统进行评估时，发现了三个主要安全漏洞：1. 双因素身份验证（OTP）绕过漏洞：攻击者可利用默认应用绕过OTP验证，只需用户名和密码即可登录。该漏洞已于2023年7月被发现，但修复耗时10个月。2. 认证和授权机制存在多个安全问题：/metrics和/health端点无需身份验证即可访问，低权限用户可访问管理功能，testLDAPConnection功能可被利用窃取LDAP凭证。3. 抗暴力破解机制中存在多个竞争条件漏洞：攻击者可以发送多个并发请求绕过登录尝试限制，且账户锁定后活动会话不会失效。作者强调开源安全项目应重视漏洞修复的及时性和与用户的沟通透明度。