Freitag, 12. Dezember 2014

Attacking SSO Part 1: ID Spoofing

In 2013 we started a security study on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most widespread SSO protocols: OpenID. As described in previous posts, OpenID is a decentralized protocol, which provides a way to prove that a user controls an Identifier – URL.IDC. Additionally, OpenID is designed to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of arbitrary IdPs: “An end user can freely choose which OpenID Provider to use ...“.
Considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 properties of OpenID, we came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea to study cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IdP, generating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication token, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Identifier URL.Idc contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 token. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words – is this relation critical regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of OpenID implementations deployed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPs.

Mittwoch, 10. Dezember 2014

Single Sign-On: The OpenID Protocol


In one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous posts, we explained SSO on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example of SAML.In this post, we will introduce anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r popular and widely deployed SSO Protocol: OpenID (if you are not familiar with SSO, we recommend you to read SSO on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example of SAML first).


Dienstag, 9. Dezember 2014

Save Your Cloud: XSS in OpenStack Dashboard

Maximizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of compute power using an Infrastructure-as-a-Service (IaaS) cloud service is a common technique nowadays. Private (IaaS) clouds are often advertised as being more secure as public ones, simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "provisioned for exclusive use by a single organization" (source). However, private and public clouds share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technology; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no fundamental difference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques employed.

Freitag, 7. November 2014

How Secure is TextSecure?

Instant Messaging has attracted a lot of attention by users for both private and business communication and has especially gained popularity as low-cost short message replacement on mobile devices. However, most popular mobile messaging apps do not provide end-to-end security. Press releases about mass surveillance performed by intelligence services such as NSA and GCHQ lead many people looking for means that allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security and privacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir communication on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Additionally fueled by Facebook's acquisition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hugely popular messaging app WhatsApp, alternatives that claim to provide secure communication experienced a significant increase of new users.

Donnerstag, 6. November 2014

Detecting and exploiting XXE in SAML Interfaces

This post will describe some findings, problems and inisghts regarding XML External Entity Attacks (XXEA) that we gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red during a large-scale security analysis of several SAML interfaces.
XXEA has been a popular attack class in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last months, see for example
This post will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of XXEA and how to adopt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to SAML, including some special problems you have to cope with.

First, we introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of Document Type Definition (DTD) and XML External Entity (XXE), and afterwards some basics on SAML. If you are fimiliar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts, you may want to skip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sections and go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last section XXEA on SAML.

Montag, 20. Oktober 2014

Single Sign-On

Single Sign-On

Using aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication via Single Sign-On (SSO) has many advantages over simple Username/Password mechanisms. Whereas for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user has to remember multiple different Username/Password combinations, this overhead can be significantly reduced with SSO. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of Username/Password relies solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, but SSO allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of several technical measures to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login procedure.





Mittwoch, 1. Oktober 2014

Verification of SAML Tokens - Traps and Pitfalls

Verification of SAML Tokens - Traps and Pitfalls

This post will describe some findings in Single Sign-On area and problems related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of SAML-based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication interfaces.

We will describe 6 attacks: Replay Attack, Token Recipient Confusion, Signature Exclusion, XML Signature Wrapping, Certificate Faking and Certificate Injection.

All 6 attacks are related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAML SSO interface and are high critical regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security.


Beliebte Posts