Montag, 16. November 2015

EsPReSSO - A good morning starts with coffee!

In this posts I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, I wrote for my Bachelor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chair for Network and Data Security, with support of Context Information Security Ltd.. EsPReSSO is a apronym for "Extension for Recognition and Processing of Single Sing on Protocols". The basic idea behind EsPReSSO is to automate standard tasks to detect and classify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Single Sign-On (SSO) Protocols OpenID, BrowserID, SAML, OAuth, OpenID-Connect, Facebook Connect and Microsoft Account. The tool is integrate with PortSwigger's HTTP Proxy, Burp Suite. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore EsPReSSO integrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WS-Attacker, to attack SAML services semi-automated or manually.

EsPReSSO consist of two core components, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scanner and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Attacker.

EsPReSSO Scanner

 

The SSO aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication process consists of a complex sequence of HTTP messages with different GET and POST parameters. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP traffic of modern browsers important SSO messages are mixed with countless irrelevant messages like, advertisement messages or AJAX requests from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open tabs. In order to identify SSO messages we have to distinguish, at first, between OAuth based protocols, like OpenID Connect, Microsoft Account and Facebook Connect, and not OAuth based protocols like SAML, OpenID and BrowserID.
The latter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se protocols appeared to be easy to classify, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir unique parameters. In contrary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection OAuth-Family protocols was not trivial. The similarities between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol flows made it hard to identify every protocol properly.
To simplify this analysis, EsPReSSO attempts to analyse and highlight SSO request send by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser. The results can be reviewed in an extra history designed for SSO protocols as well as Burp Suite's built-in HTTP proxy history. To evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single SSO messages better, EsPReSSO integrates a SAML, JSON and JWT (JSON Web Token) editor.

EsPReSSO Attacker

 

Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAML editor EsPReSSO integrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous WS-Attacker, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chair for Network and Data Security, to manipulate request during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interception with Burp Suite. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment two attacks are implemented, XML Signature Wrapping and XML Signature Faking. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first kind, it is possible to choose from over 200 different attack vectors. These attack vectors are automatically retrieved from a predefined setup. The user can choose and fine tune all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modification is applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original message.
With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Signature Faking attack, a new signature will be computed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 given assertion.

Sources

EsPReSSO is based on Christian Mainka's 'BurpSSOExtension' and replaces it in its repository. Fork cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project on GitHub and help us to develop an awesome tool.
Or use our Extension with Burps BApp Store.

Authors of this Post

This post was written by Tim Guencá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and reviewed by Christian Mainka and Vladislav Mladenov.
Tim's Bachelor Thesis can be found at https://www.nds.rub.de/teaching/cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ses/espresso-ba/

Beliebte Posts