Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

OIDC Scenario Based Tester (OSBT)

Avatar for yuasa yuasa
August 10, 2023
0
410

OIDC Scenario Based Tester (OSBT)

Avatar for yuasa

yuasa

August 10, 2023
Tweet

More Decks by yuasa

See All by yuasa
Threat Thinker
Avatar for yuasa melonattacker
1
390
自作セキュリティツールの世界
Avatar for yuasa melonattacker
0
150
Prompt Hardener - Automatically Evaluating and Securing LLM System Prompts
Avatar for yuasa melonattacker
1
380
プロンプトインジェクション2.0 : 進化する防御機構とその回避手法
Avatar for yuasa melonattacker
6
4.1k
Prompt Hardener
Avatar for yuasa melonattacker
0
860
LLM活用システムの脆弱性診断内製化の取り組み
Avatar for yuasa melonattacker
0
350
OpenID Connect活用時のなりすまし攻撃対策の検討 - OpenID Summit Tokyo 2024
Avatar for yuasa melonattacker
0
790
OSBT: OpenID Connect Scenario-Based Tester – CODE BLUE 2023
Avatar for yuasa melonattacker
0
810
JWTセキュリティ入門
Avatar for yuasa melonattacker
17
13k

Featured

See All Featured
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.7k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Navigating Team Friction
Avatar for Lara Hogan lara
191
16k
Visualization
Avatar for Eitan Lees eitanlees
150
16k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.3k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
800
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
196
70k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.6k

Transcript

  1. OIDC Scenario Based Tester (OSBT) 湯浅 潤樹 B チューター セキュリティ・キャンプ全国⼤会2023

  2. 2 湯浅 潤樹(Junki Yuasa) ⾃⼰紹介 奈良先端科学技術⼤学院⼤学 M2 l Bチューター l

    OAuth、OpenID Connect関係の研究 l SECCON Beginnersで作問 https://melonattacker.github.io @melonattacker

  3. 3 複数サービスに⼀つのアカウントで接続できる技術 シングルサインオン(SSO)とは 通常のログイン シングルサインオン webサービスA webサービスB webサービスC webサービスA webサービスB

    webサービスC 認証情報 認証情報 認証情報 認証情報

  4. 4 OIDCは認証とID共有のためのSSOプロトコル OpenID Connect(OIDC)とは 2. ユーザー情報の送信 ID プロバイダ Web サービス

    3. ログイン完了 1. ユーザー情報 の提供を許可、認証 ユーザー { “issuer”: “IDプロバイダ”, “aud”, “Webサービス”, “sub”, “ユーザ識別⼦”, } OpenID Connect

  5. 5 OIDCにはシナリオベースのテストツールが必要 l 開発者は仕様を元に実装する l チェック項⽬の検証不⾜などの論理的な⽋陥が⽣まれる l ファジングなどの⾃動検査⼿法は脆弱性検出に適さない l 定義した攻撃シナリオを正確に実⾏することが必要

    背景

  6. 6 テストシナリオをプログラムで記述可能なツール OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt Pythonでテストシナリオを記述

  7. 7 OSBTは既存テストツールの課題を解決 既存のテストツールの課題とOSBTの特徴 l テストシナリオや評価条件がツール内に組み込まれている → シナリオ記述ライブラリを⽤いてテストシナリオを記述可能 l CIへの組み込みによる継続的なセキュリティ評価ができない →

    CLIツールを⽤いたCIへの組み込みが可能 l ブラックボックス化されている → 攻撃をプログラムで記述することで脆弱性の理解を深められる

  8. 8 テストシナリオ実⾏のために各要素間で連携 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt

  9. 9 Github Actionsへの組み込みが可能 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt

  10. 10 OSBTはテスト、研究、教育⽬的に使⽤可能 OSBTのユースケース l ライブラリの実装者、テスター l ライブラリ実装上の脆弱性検出にツールを使⽤ l 研究者 l

    新たな攻撃⼿法のPoC検証に使⽤ l OIDCのセキュリティ学習者 l 脆弱性や攻撃の理解のために使⽤ テスト 研究 教育

  11. 11 最後に Githubレポジトリに スターを押して頂けると泣いて喜びます😭 https://github.com/oidc-scenario-based-tester/osbt