Sie entwickeln eine Webanwendung und möchten wissen, wie Sie diese sicher gestalten können? Verwendet Ihre Applikation Single Sign-On Verfahren, Webservices oder XML? Setzen Sie TLS ein? Die Experten von Hackmanit zeigen Ihnen welche Gefahren diese Technologien mitbringen können und wie es möglich ist, Ihre Anwendung gegen aktuelle Hackertechniken zu schützen. 

Single Sign-On (SSO) Verfahren gehören zu den wichtigsten Internet-Technologien und werden von vielen Applikationen eingesetzt. Sie ermöglichen es die Registrierung und das Login für Benutzer möglichst einfach zu gestalten und Applikationen an soziale Netzwerke anzubinden. OAuth und OpenID Connect haben sich heute als Standard etabliert. In den letzten Jahren wurden allerdings schwerwiegende Angriffe auf SSO Verfahren entdeckt. Die Angriffe nutzen die Komplexität der zugrundeliegenden Standards, sowie Implementierungsfehler, aus und ermöglichen es Angreifern sich als beliebiger Benutzer zu authentisieren oder auf vertrauliche Daten der Benutzer zuzugreifen. Hierbei können die Daten ausgelesen, manipuliert oder gelöscht werden.

In dieser Schulung geben wir einen detaillierten Überblick über das Single Sign-On Konzept und vertiefen das Fachwissen der Teilnehmer in dem Einsatz der etablierten Standards OAuth und OpenID Connect. Anhand von Beispielen werden unzählige Angriffe ausführlich vorgestellt und mit den Teilnehmern diskutiert. Um das bestmögliche Verständnis zu erlangen, bekommen die Teilnehmer die Möglichkeit unterschiedliche Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Hierfür werden verschiedene Tools zur Analyse von SSO Verfahren vorgestellt und kommen anschließend praktisch zum Einsatz. Die virtuelle Maschine ist offline nutzbar und steht den Teilnehmern nach der Schulung weiterhin zur internen Weiterbildung zur Verfügung. Abschließend werden Techniken und Konzepte behandelt, welche die Sicherheit von SSO Verfahren verstärken und die bekannten Angriffe verhindern.

Durch die kritische Funktion, die SSO Verfahren bei dem Betrieb einer Applikation übernehmen, ist es wichtig, die Probleme dieser Technologien im Detail zu verstehen und zu adressieren. In der Schulung werden unter anderem die nachfolgenden Fragen beantwortet:

  • Wann sollte OAuth verwenden werden, wann OpenID Connect?
  • Worin unterscheiden sich die verschiedenen OpenID Connect Flows?
  • Welche Angriffe auf SSO Flows gibt es und wie kann man diese verhindern?

Auf Wunsch ist es möglich diese Schulung durch weitere Details oder die Berücksichtigung von SAML auf 3 Tage zu erweitern.

Schulungsinhalte:

  • Einführung in Single Sign-On
  • OAuth und OpenID Connect Flows
    • Code Flow
    • Implicit Flow
    • Hybrid Flow
  • Generische Angriffe auf SSO Verfahren
    • XSS, Clickjacking, CSRF, Open/Covert Redirects
  • Erste OAuth und OpenID Connect spezifische Angriffe
  • ID Token
    • Details & Angriffe
  • Single-Phase Angriffe
    • ID Spoofing Angriffe
    • Signature Bypasses
  • Cross-Phase Angriffe
    • Issuer Confusion
    • Malicious Endpoint Angriffe
    • IdP Confusion
  • Weitere Technologien
    • Device Flow, Native Apps & PKCE
  • Secure Token Bindings
    • Mutual TLS
    • Holder-of-Key

Teilnahmevoraussetzungen: Diese Schulung richtet sich an zwei Gruppen: Einerseits an Entwickler, die Single Sign-On Verfahren basierend auf OAuth und OpenID Connect praktisch einsetzen; andererseits an Penetrationstester und Sicherheitsforscher, die sich mit den Standards OAuth und OpenID Connect vertraut machen und Applikationen, die entsprechende Single Sign-On Verfahren einsetzen, evaluieren möchten.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen
Flyer der Schulung: Single Sign-On Sicherheit: OAuth & OpenID Connect

Ansprechpartner: Dr. Christian Mainka