$30 off During Our Annual Pro Sale. View Details »

OIDC Scenario Based Tester (OSBT)

yuasa
August 10, 2023
0
170

OIDC Scenario Based Tester (OSBT)

yuasa

August 10, 2023
Tweet

More Decks by yuasa

See All by yuasa
OSBT: OpenID Connect Scenario-Based Tester – CODE BLUE 2023
melonattacker
0
210
JWTセキュリティ入門
melonattacker
14
10k
Terraformのノリを理解する
melonattacker
1
130
Utility Token Price Simulator
melonattacker
0
260
Hyperledger Fabricさらっとガイド
melonattacker
0
320
Plasma, Plasma Cash, Plasma Chamber
melonattacker
0
340
Polkadotをふんわり理解する
melonattacker
1
410

Featured

See All Featured
The Cult of Friendly URLs
andyhume
71
5.4k
Code Review Best Practice
trishagee
53
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
219
21k
Code Reviewing Like a Champion
maltzj
511
38k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
Building Effective Engineering Teams - LeadDev
addyosmani
22
1.2k
Web development in the modern age
philhawksworth
201
9.9k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
Teambox: Starting and Learning
jrom
125
8.2k
Building Applications with DynamoDB
mza
87
5.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.7k
Typedesign – Prime Four
hannesfritz
35
1.8k

Transcript

  1. OIDC Scenario Based Tester
    (OSBT)
    湯浅 潤樹
    B チューター
    セキュリティ・キャンプ全国⼤会2023

    View Slide

  2. 2
    湯浅 潤樹(Junki Yuasa)
    ⾃⼰紹介
    奈良先端科学技術⼤学院⼤学 M2
    l Bチューター
    l OAuth、OpenID Connect関係の研究
    l SECCON Beginnersで作問
    https://melonattacker.github.io
    @melonattacker

    View Slide

  3. 3
    複数サービスに⼀つのアカウントで接続できる技術
    シングルサインオン(SSO)とは
    通常のログイン シングルサインオン
    webサービスA
    webサービスB
    webサービスC webサービスA
    webサービスB
    webサービスC
    認証情報 認証情報
    認証情報
    認証情報

    View Slide

  4. 4
    OIDCは認証とID共有のためのSSOプロトコル
    OpenID Connect(OIDC)とは
    2. ユーザー情報の送信
    ID
    プロバイダ
    Web
    サービス
    3. ログイン完了
    1. ユーザー情報
    の提供を許可、認証 ユーザー
    {
    “issuer”: “IDプロバイダ”,
    “aud”, “Webサービス”,
    “sub”, “ユーザ識別⼦”,
    }
    OpenID Connect

    View Slide

  5. 5
    OIDCにはシナリオベースのテストツールが必要
    l 開発者は仕様を元に実装する
    l チェック項⽬の検証不⾜などの論理的な⽋陥が⽣まれる
    l ファジングなどの⾃動検査⼿法は脆弱性検出に適さない
    l 定義した攻撃シナリオを正確に実⾏することが必要
    背景

    View Slide

  6. 6
    テストシナリオをプログラムで記述可能なツール
    OIDC Scenario Based Tester(OSBT)
    https://github.com/oidc-scenario-based-tester/osbt
    Pythonでテストシナリオを記述

    View Slide

  7. 7
    OSBTは既存テストツールの課題を解決
    既存のテストツールの課題とOSBTの特徴
    l テストシナリオや評価条件がツール内に組み込まれている
    → シナリオ記述ライブラリを⽤いてテストシナリオを記述可能
    l CIへの組み込みによる継続的なセキュリティ評価ができない
    → CLIツールを⽤いたCIへの組み込みが可能
    l ブラックボックス化されている
    → 攻撃をプログラムで記述することで脆弱性の理解を深められる

    View Slide

  8. 8
    テストシナリオ実⾏のために各要素間で連携
    OIDC Scenario Based Tester(OSBT)
    https://github.com/oidc-scenario-based-tester/osbt

    View Slide

  9. 9
    Github Actionsへの組み込みが可能
    OIDC Scenario Based Tester(OSBT)
    https://github.com/oidc-scenario-based-tester/osbt

    View Slide

  10. 10
    OSBTはテスト、研究、教育⽬的に使⽤可能
    OSBTのユースケース
    l ライブラリの実装者、テスター
    l ライブラリ実装上の脆弱性検出にツールを使⽤
    l 研究者
    l 新たな攻撃⼿法のPoC検証に使⽤
    l OIDCのセキュリティ学習者
    l 脆弱性や攻撃の理解のために使⽤
    テスト
    研究 教育

    View Slide

  11. 11
    最後に
    Githubレポジトリに
    スターを押して頂けると泣いて喜びます😭
    https://github.com/oidc-scenario-based-tester/osbt

    View Slide