Angriffsflächen von OAuth 2.0 und OpenID Connect.pdf

Angriffsflächen von OAuth 2.0 und OpenID Connect PDF

Um bei einem Zugriff auf externe Webservices sensible Benutzerdaten nicht an Dritte weitergeben zu müssen, werden Authentifizierungs- und Autorisierungsverfahren eingesetzt, wie die derzeit populären Protokolle OAuth 2.0 und OpenID Connect. Das Ziel dieses vorliegenden Buches ist, Internetgrößen als Protokollanbieter (z. B. Facebook, Google, Microsoft), auf Angriffsflächen hin zu untersuchen, ob AngreiferInnen diese mit vertretbarem Aufwand nutzen können. Hierzu werden die Begriffe Authentifizierung und Autorisierung im Internet und häufig verwendete Verfahren beschrieben. Der theoretische Protokollablauf von OAuth 2.0 und OpenID Connect wird detailliert erläutert, um eine Analyse der Sicherheitsbedrohungen durchführen zu können. Gegliedert in neun Sicherheitsbedrohungen wurden 18 systematisch durchgeführte Versuchsreihen dokumentiert und die Ergebnisse diskutiert. Es konnten drei Sicherheitsbedrohungen nachgewiesen werden, unter anderem ein erfolgreich durchgeführter Cross-Site Request Forgery Angriff auf eine populäre österreichische Website, die OAuth 2.0 als Single Sign-On Protokoll verwendet.

HERUNTERLADEN

ONLINE LESEN

DATEIGRÖSSE 6.29 MB
ISBN 9783639886634
AUTOR Bernhard Weinhappel
DATEINAME Angriffsflächen von OAuth 2.0 und OpenID Connect.pdf
VERöFFENTLICHUNGSDATUM 02/02/2020

Das OAuth 2.0 Autorisierungsrahmenwerk (OAuth) und die darauf aufbauende OpenID Connect 1.0 Identitätsschicht (OpenID Connect) sind seit 2012 bzw. 2014 standardisiert und werden in aktuellen Web OAuth 2 vs. OpenID Connect – API-University OpenID Connect is a solution that can be applied in many environments, on many devices, and with many different products. OpenID Connect is realized as an extension of OAuth, as a so-called OAuth profile. OAuth profiles are a standardized mechanism to build upon the main OAuth standard.