Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OIDC Scenario Based Tester (OSBT)
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yuasa
August 10, 2023
450
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OIDC Scenario Based Tester (OSBT)
yuasa
August 10, 2023
More Decks by yuasa
See All by yuasa
Threat Thinker
melonattacker
1
1.8k
自作セキュリティツールの世界
melonattacker
0
270
Prompt Hardener - Automatically Evaluating and Securing LLM System Prompts
melonattacker
1
560
プロンプトインジェクション2.0 : 進化する防御機構とその回避手法
melonattacker
6
4.6k
Prompt Hardener
melonattacker
0
1.2k
LLM活用システムの脆弱性診断内製化の取り組み
melonattacker
0
410
OpenID Connect活用時のなりすまし攻撃対策の検討 - OpenID Summit Tokyo 2024
melonattacker
0
940
OSBT: OpenID Connect Scenario-Based Tester – CODE BLUE 2023
melonattacker
0
970
JWTセキュリティ入門
melonattacker
17
14k
Featured
See All Featured
Abbi's Birthday
coloredviolet
2
8.1k
Building AI with AI
inesmontani
PRO
1
1.1k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
430
Mind Mapping
helmedeiros
PRO
1
250
How to make the Groovebox
asonas
2
2.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
WENDY [Excerpt]
tessaabrams
11
38k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
200
Scaling GitHub
holman
464
140k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
360
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
780
Transcript
OIDC Scenario Based Tester (OSBT) 湯浅 潤樹 B チューター セキュリティ・キャンプ全国⼤会2023
2 湯浅 潤樹(Junki Yuasa) ⾃⼰紹介 奈良先端科学技術⼤学院⼤学 M2 l Bチューター l
OAuth、OpenID Connect関係の研究 l SECCON Beginnersで作問 https://melonattacker.github.io @melonattacker
3 複数サービスに⼀つのアカウントで接続できる技術 シングルサインオン(SSO)とは 通常のログイン シングルサインオン webサービスA webサービスB webサービスC webサービスA webサービスB
webサービスC 認証情報 認証情報 認証情報 認証情報
4 OIDCは認証とID共有のためのSSOプロトコル OpenID Connect(OIDC)とは 2. ユーザー情報の送信 ID プロバイダ Web サービス
3. ログイン完了 1. ユーザー情報 の提供を許可、認証 ユーザー { “issuer”: “IDプロバイダ”, “aud”, “Webサービス”, “sub”, “ユーザ識別⼦”, } OpenID Connect
5 OIDCにはシナリオベースのテストツールが必要 l 開発者は仕様を元に実装する l チェック項⽬の検証不⾜などの論理的な⽋陥が⽣まれる l ファジングなどの⾃動検査⼿法は脆弱性検出に適さない l 定義した攻撃シナリオを正確に実⾏することが必要
背景
6 テストシナリオをプログラムで記述可能なツール OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt Pythonでテストシナリオを記述
7 OSBTは既存テストツールの課題を解決 既存のテストツールの課題とOSBTの特徴 l テストシナリオや評価条件がツール内に組み込まれている → シナリオ記述ライブラリを⽤いてテストシナリオを記述可能 l CIへの組み込みによる継続的なセキュリティ評価ができない →
CLIツールを⽤いたCIへの組み込みが可能 l ブラックボックス化されている → 攻撃をプログラムで記述することで脆弱性の理解を深められる
8 テストシナリオ実⾏のために各要素間で連携 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt
9 Github Actionsへの組み込みが可能 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt
10 OSBTはテスト、研究、教育⽬的に使⽤可能 OSBTのユースケース l ライブラリの実装者、テスター l ライブラリ実装上の脆弱性検出にツールを使⽤ l 研究者 l
新たな攻撃⼿法のPoC検証に使⽤ l OIDCのセキュリティ学習者 l 脆弱性や攻撃の理解のために使⽤ テスト 研究 教育
11 最後に Githubレポジトリに スターを押して頂けると泣いて喜びます😭 https://github.com/oidc-scenario-based-tester/osbt
Your Podcast. Everywhere. Effortlessly.
.png){kind=avatar}
.png){kind=small}
.png){kind=avatar}
melonattacker
coloredviolet
inesmontani
mfonobong
helmedeiros
asonas
reverentgeek
tessaabrams
sabderemane
holman
greggifford
eileencodes
nmsamuel
