Перехватил SAMLResponse в Burp, переместил подписанный Assertion в другую ветку DOM, вставил поддельный NameID=admin@company.local — SP пустил как доменного администратора. Подпись валидна. Три правки в XML, ноль взаимодействия с IdP.XML Signature Wrapping...
Атаки на SAML аутентификацию: XML Signature Wrapping, Golden SAML и обход федеративного SSO
Источник: codeby.net