Single Sign-On (SSO) Verfahren gehören zu den wichtigsten Internet-Technologien und werden von vielen Applikationen eingesetzt. Sie ermöglichen es, die Registrierung und das Log-in für Benutzer*innen möglichst einfach zu gestalten und Applikationen an soziale Netzwerke anzubinden. OAuth und OpenID Connect haben sich heute als Standard etabliert. In den letzten Jahren wurden allerdings schwerwiegende Angriffe auf SSO Verfahren entdeckt. Die Angriffe nutzen die Komplexität der zugrunde liegenden Standards sowie Implementierungsfehler aus und ermöglichen es Angreifern, sich als beliebiger Benutzer zu authentisieren oder auf vertrauliche Daten der Benutzer*innen zuzugreifen. Hierbei können die Daten ausgelesen, manipuliert oder gelöscht werden.
In dieser Schulung geben wir einen detaillierten Überblick über das Single Sign-On Konzept und vertiefen das Fachwissen der Teilnehmer in dem Einsatz der etablierten Standards OAuth und OpenID Connect. Anhand von Beispielen werden unzählige Angriffe ausführlich vorgestellt und mit den Teilnehmern diskutiert. Um das bestmögliche Verständnis zu erlangen, bekommen die Teilnehmer die Möglichkeit, unterschiedliche Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Hierfür werden verschiedene Tools zur Analyse von SSO Verfahren vorgestellt und kommen anschließend praktisch zum Einsatz. Die virtuelle Maschine ist offline nutzbar und steht den Teilnehmern nach der Schulung weiterhin zur internen Weiterbildung zur Verfügung. Abschließend werden Techniken und Konzepte behandelt, welche die Sicherheit von SSO Verfahren verstärken und die bekannten Angriffe verhindern.
Durch die kritische Funktion, die SSO Verfahren bei dem Betrieb einer Applikation übernehmen, ist es wichtig, die Probleme dieser Technologien im Detail zu verstehen und zu adressieren.
Trainer und Dozenten
Dr.-Ing. Christian Mainka
Christian Mainka hat 2017 über die Themen Webservices und Single Sign-On promoviert. Er beschäftigt sich seit 2009 mit Sicherheitsaspekten, die durch den Einsatz von Datenbeschreibungssprachen wie JSON und XML entstehen und ist Entwickler der Penetrationstesttools WS-Attacker und der Single Sign-On Burpsuite Extension EsPReSSO. In seiner Dissertation „On Message- Level Security“ analysiert er zudem die Sicherheit moderner Single Sign-On Verfahren wie SAML, OAuth und OpenID Connect und deckte zahlreiche Sicherheitslücken auf.
Dr.-Ing. Vladislav Mladenov
Vladislav Mladenov arbeitet seit 2012 als Sicherheitsforscher am Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum. Im Rahmen seiner Dissertation analysierte er die Sicherheit von Single Sign-On Protokollen wie SAML 2.0, OpenID, OpenID Connect und OAuth und deckte zahlreiche Sicherheitslücken auf. Nach seiner Dissertation arbeitet Vladislav Mladenov als PostDoc und widmet seine Aufmerksamkeit zusätzlich den Themen wie die Sicherheit von Datenbeschreibungssprachen, z.B. JSON, XML, PostScript und PDF.
Voraussetzungen
- Grundwissen HTTP & HTML
- Die Schulung ist sowohl für Entwickler*innen als auch für Penetrationstester*innen geeignet
Inhalt
Schulungsinhalte:
- Einführung in JSON Signaturen
- Angriffe auf JSON Signaturen
- Einführung in Single Sign-On
- OAuth und OpenID Connect Flows
- Code Flow
- Implicit Flow
- Hybrid Flow
- Generische Angriffe auf SSO Verfahren
- XSS, Clickjacking, CSRF, Open/Covert Redirects
- Erste OAuth und OpenID Connect spezifische Angriffe
- ID Token
- Details & Angriffe
- Single-Phase Angriffe
- ID Spoofing Angriffe
- Signature Bypasses
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An Kurstagen gibt es bei uns ab 8 Uhr Frühstück.
Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr.
Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen.
Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.
Termine und Anmeldung
-
18. März 2025, 4 Tage
Sicherheit für REST APIs und Sicherheit für OAuth und OpenID Connect anmelden -
20. März 2025, 2 Tage
Sicherheit für OAuth und OpenID Connect anmelden
Haben Sie einen anderen Wunschtermin?
Verwandte Seminare ...
... aus den Kategorien Sicherheit und Web
- Amavis Spam&Virenfilter
- Android Reverse Engineering
- Android Security Foundations
- Apache Webserver
- Apps mit JavaScript
- Arbeitsspeicher Forensik
- Asterisk VoIP Sicherheit
- DDoS Praxisworkshop
- DNS und BIND - Betrieb und Sicherheit
- Digitale Forensik
- Drupal
- Firewall & Netzwerksecurity
- Grails
- HTML5 und CSS3
- IPsec
- IT-Sicherheit für Entwickler
- JavaScript
- LPI 303 Security
- Malware-Analyse
- NGINX
- Netzwerkforensik
- Node.js
- OPNsense
- OPNsense für Einsteiger
- OPNsense für Fortgeschrittene
- OpenBSD
- OpenVPN
- PF-Paketfilter
- PHP Fortgeschrittene
- PHP Programmierung
- QUIC und HTTP/3
- React & Typescript
- Reverse Engineering
- Ruby Programmierung
- Ruby on Rails
- Server Sicherheit
- Shibboleth IdP
- Shibboleth SP
- Sichere Webentwicklung
- Sicherheit für REST APIs
- Software (De)-Obfuscation
- Suricata
- TLS-Sicherheit
- TYPO3 CMS
- Testen mit PHPUnit
- Tomcat Grundlagen
- Unix Server Forensik
- Webentwicklung Grundlagen
- Webentwicklung mit Django
- Webservice Sicherheit
- Writing Professionally in English
- Yii PHP Framework
- Zend Framework 3
- android forensics
- jQuery
- mod_security
- praktische Kryptographie
- varnish
