OIDC Scenario Based Tester (OSBT)

OIDC Scenario Based Tester (OSBT) 湯浅潤樹 B チューターセキュリティ・キャンプ全国⼤会2023

2 湯浅潤樹（Junki Yuasa）⾃⼰紹介奈良先端科学技術⼤学院⼤学 M2 l Bチューター l
OAuth、OpenID Connect関係の研究 l SECCON Beginnersで作問 https://melonattacker.github.io @melonattacker

3 複数サービスに⼀つのアカウントで接続できる技術シングルサインオン（SSO）とは通常のログインシングルサインオン webサービスA webサービスB webサービスC webサービスA webサービスB
webサービスC 認証情報認証情報認証情報認証情報

4 OIDCは認証とID共有のためのSSOプロトコル OpenID Connect（OIDC）とは 2. ユーザー情報の送信 ID プロバイダ Web サービス
3. ログイン完了 1. ユーザー情報の提供を許可、認証ユーザー { “issuer”: “IDプロバイダ”, “aud”, “Webサービス”, “sub”, “ユーザ識別⼦”, } OpenID Connect

5 OIDCにはシナリオベースのテストツールが必要 l 開発者は仕様を元に実装する l チェック項⽬の検証不⾜などの論理的な⽋陥が⽣まれる l ファジングなどの⾃動検査⼿法は脆弱性検出に適さない l 定義した攻撃シナリオを正確に実⾏することが必要
背景

6 テストシナリオをプログラムで記述可能なツール OIDC Scenario Based Tester（OSBT） https://github.com/oidc-scenario-based-tester/osbt Pythonでテストシナリオを記述

7 OSBTは既存テストツールの課題を解決既存のテストツールの課題とOSBTの特徴 l テストシナリオや評価条件がツール内に組み込まれている → シナリオ記述ライブラリを⽤いてテストシナリオを記述可能 l CIへの組み込みによる継続的なセキュリティ評価ができない →
CLIツールを⽤いたCIへの組み込みが可能 l ブラックボックス化されている → 攻撃をプログラムで記述することで脆弱性の理解を深められる

8 テストシナリオ実⾏のために各要素間で連携 OIDC Scenario Based Tester（OSBT） https://github.com/oidc-scenario-based-tester/osbt

9 Github Actionsへの組み込みが可能 OIDC Scenario Based Tester（OSBT） https://github.com/oidc-scenario-based-tester/osbt

10 OSBTはテスト、研究、教育⽬的に使⽤可能 OSBTのユースケース l ライブラリの実装者、テスター l ライブラリ実装上の脆弱性検出にツールを使⽤ l 研究者 l
新たな攻撃⼿法のPoC検証に使⽤ l OIDCのセキュリティ学習者 l 脆弱性や攻撃の理解のために使⽤テスト研究教育

11 最後に Githubレポジトリにスターを押して頂けると泣いて喜びます😭 https://github.com/oidc-scenario-based-tester/osbt

OIDC Scenario Based Tester (OSBT)

OIDC Scenario Based Tester (OSBT)

yuasa

More Decks by yuasa

Featured

Transcript