Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OIDC Scenario Based Tester (OSBT)
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yuasa
August 10, 2023
450
0
Share
OIDC Scenario Based Tester (OSBT)
yuasa
August 10, 2023
More Decks by yuasa
See All by yuasa
Threat Thinker
melonattacker
1
1.7k
自作セキュリティツールの世界
melonattacker
0
260
Prompt Hardener - Automatically Evaluating and Securing LLM System Prompts
melonattacker
1
540
プロンプトインジェクション2.0 : 進化する防御機構とその回避手法
melonattacker
6
4.6k
Prompt Hardener
melonattacker
0
1.1k
LLM活用システムの脆弱性診断内製化の取り組み
melonattacker
0
410
OpenID Connect活用時のなりすまし攻撃対策の検討 - OpenID Summit Tokyo 2024
melonattacker
0
930
OSBT: OpenID Connect Scenario-Based Tester – CODE BLUE 2023
melonattacker
0
950
JWTセキュリティ入門
melonattacker
17
14k
Featured
See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
350
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
350
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
930
Agile that works and the tools we love
rasmusluckow
331
21k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
830
Navigating Team Friction
lara
192
16k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Utilizing Notion as your number one productivity tool
mfonobong
4
310
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
120
Transcript
OIDC Scenario Based Tester (OSBT) 湯浅 潤樹 B チューター セキュリティ・キャンプ全国⼤会2023
2 湯浅 潤樹(Junki Yuasa) ⾃⼰紹介 奈良先端科学技術⼤学院⼤学 M2 l Bチューター l
OAuth、OpenID Connect関係の研究 l SECCON Beginnersで作問 https://melonattacker.github.io @melonattacker
3 複数サービスに⼀つのアカウントで接続できる技術 シングルサインオン(SSO)とは 通常のログイン シングルサインオン webサービスA webサービスB webサービスC webサービスA webサービスB
webサービスC 認証情報 認証情報 認証情報 認証情報
4 OIDCは認証とID共有のためのSSOプロトコル OpenID Connect(OIDC)とは 2. ユーザー情報の送信 ID プロバイダ Web サービス
3. ログイン完了 1. ユーザー情報 の提供を許可、認証 ユーザー { “issuer”: “IDプロバイダ”, “aud”, “Webサービス”, “sub”, “ユーザ識別⼦”, } OpenID Connect
5 OIDCにはシナリオベースのテストツールが必要 l 開発者は仕様を元に実装する l チェック項⽬の検証不⾜などの論理的な⽋陥が⽣まれる l ファジングなどの⾃動検査⼿法は脆弱性検出に適さない l 定義した攻撃シナリオを正確に実⾏することが必要
背景
6 テストシナリオをプログラムで記述可能なツール OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt Pythonでテストシナリオを記述
7 OSBTは既存テストツールの課題を解決 既存のテストツールの課題とOSBTの特徴 l テストシナリオや評価条件がツール内に組み込まれている → シナリオ記述ライブラリを⽤いてテストシナリオを記述可能 l CIへの組み込みによる継続的なセキュリティ評価ができない →
CLIツールを⽤いたCIへの組み込みが可能 l ブラックボックス化されている → 攻撃をプログラムで記述することで脆弱性の理解を深められる
8 テストシナリオ実⾏のために各要素間で連携 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt
9 Github Actionsへの組み込みが可能 OIDC Scenario Based Tester(OSBT) https://github.com/oidc-scenario-based-tester/osbt
10 OSBTはテスト、研究、教育⽬的に使⽤可能 OSBTのユースケース l ライブラリの実装者、テスター l ライブラリ実装上の脆弱性検出にツールを使⽤ l 研究者 l
新たな攻撃⼿法のPoC検証に使⽤ l OIDCのセキュリティ学習者 l 脆弱性や攻撃の理解のために使⽤ テスト 研究 教育
11 最後に Githubレポジトリに スターを押して頂けると泣いて喜びます😭 https://github.com/oidc-scenario-based-tester/osbt
Your Podcast. Everywhere. Effortlessly.
.png){kind=avatar}
.png){kind=small}
.png){kind=avatar}
melonattacker
tmiket
sonatard
akashhashmi
tammyeverts
rasmusluckow
ryanjones
tomoyanonymous
lara
aleyda
mfonobong
stuffmc
