Sicherheit für OAuth und OpenID Connect

Single Sign-On (SSO) Verfahren gehören zu den wichtigsten Internet-Technologien und werden von vielen Applikationen eingesetzt. Sie ermöglichen es die Registrierung und das Login für Benutzer möglichst einfach zu gestalten und Applikationen an soziale Netzwerke anzubinden. OAuth und OpenID Connect haben sich heute als Standard etabliert. In den letzten Jahren wurden allerdings schwerwiegende Angriffe auf SSO Verfahren entdeckt. Die Angriffe nutzen die Komplexität der zugrundeliegenden Standards, sowie Implementierungsfehler, aus und ermöglichen es Angreifern sich als beliebiger Benutzer zu authentisieren oder auf vertrauliche Daten der Benutzer zuzugreifen. Hierbei können die Daten ausgelesen, manipuliert oder gelöscht werden.

In dieser Schulung geben wir einen detaillierten Überblick über das Single Sign-On Konzept und vertiefen das Fachwissen der Teilnehmer in dem Einsatz der etablierten Standards OAuth und OpenID Connect. Anhand von Beispielen werden unzählige Angriffe ausführlich vorgestellt und mit den Teilnehmern diskutiert. Um das bestmögliche Verständnis zu erlangen, bekommen die Teilnehmer die Möglichkeit unterschiedliche Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Hierfür werden verschiedene Tools zur Analyse von SSO Verfahren vorgestellt und kommen anschließend praktisch zum Einsatz. Die virtuelle Maschine ist offline nutzbar und steht den Teilnehmern nach der Schulung weiterhin zur internen Weiterbildung zur Verfügung. Abschließend werden Techniken und Konzepte behandelt, welche die Sicherheit von SSO Verfahren verstärken und die bekannten Angriffe verhindern.

Durch die kritische Funktion, die SSO Verfahren bei dem Betrieb einer Applikation übernehmen, ist es wichtig, die Probleme dieser Technologien im Detail zu verstehen und zu adressieren. In der Schulung werden unter anderem die nachfolgenden Fragen beantwortet:

• Wann sollte OAuth verwenden werden, wann OpenID Connect?
• Worin unterscheiden sich die verschiedenen OpenID Connect Flows?
• Welche Angriffe auf SSO Flows gibt es und wie kann man diese verhindern?

Schulungsinhalte:

• Einführung in Single Sign-On
• OAuth und OpenID Connect Flows
  • Code Flow
  • Implicit Flow
  • Hybrid Flow
• Generische Angriffe auf SSO Verfahren
  • XSS, Clickjacking, CSRF, Open/Covert Redirects
• Erste OAuth und OpenID Connect spezifische Angriffe
• ID Token
  • Details & Angriffe
• Single-Phase Angriffe
  • ID Spoofing Angriffe
  • Signature Bypasses
• Mögliche weitere Themen (werden mit Teilnehmen während der Schulung abgesprochen)
  • Cross-Phase Angriffe
  • Session-Management
  • Proof Key for Code Exchange by OAuth Public Clients
  • Device Flow
  • Native Apps
  • Single-Page Applications

Entwickler,

- Grundwissen HTTP & HTML - Die Schulung ist sowohl für Entwickler als auch für Penetrationstester geeignet

Deutsch

4 bis 10

Anbieter-Zertifikat

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park. An Kurstagen gibt es bei uns ab 8 Uhr Frühstück. Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr. Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen. Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen.

2.110,11 € (pro Person)

Präsenzkurs

Tageskurs

Schulungszeiten: 9 bis 18 Uhr (2 Kaffeepausen und eine Mittagspause)

Termine und Orte

Von	Bis	Ort	Durchführungs- garantie	Frühbucher bis Betrag	Lastminute ab Betrag
16.12.2024	18.12.2024	Essen