Posts mit dem Label SAML werden angezeigt. Alle Posts anzeigen
Posts mit dem Label SAML werden angezeigt. Alle Posts anzeigen

Montag, 16. November 2015

EsPReSSO - A good morning starts with coffee!

In this posts I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool, I wrote for my Bachelor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chair for Network and Data Security, with support of Context Information Security Ltd.. EsPReSSO is a apronym for "Extension for Recognition and Processing of Single Sing on Protocols". The basic idea behind EsPReSSO is to automate standard tasks to detect and classify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Single Sign-On (SSO) Protocols OpenID, BrowserID, SAML, OAuth, OpenID-Connect, Facebook Connect and Microsoft Account. The tool is integrate with PortSwigger's HTTP Proxy, Burp Suite. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore EsPReSSO integrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WS-Attacker, to attack SAML services semi-automated or manually.

Mittwoch, 8. April 2015

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security of SAML-based Identity Providers

In previous posts we described Single Sign-On (SSO) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication flow in detail. Additionally, we showed implementation pitfalls on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Service Provider (SP) side resulting in critical vulnerabilities.
In 2012 we started a study about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of SAML based Identity Provider (IdP). The motivation to make this study was very simple – if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Identity Provider is vulnerable, all Service Providers are affected. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words – even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Service Provider is implemented correctly, an attacker can successfully get illegitimate access to restricted resources, e.g. victim's account.

Donnerstag, 6. November 2014

Detecting and exploiting XXE in SAML Interfaces

This post will describe some findings, problems and inisghts regarding XML External Entity Attacks (XXEA) that we gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red during a large-scale security analysis of several SAML interfaces.
XXEA has been a popular attack class in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last months, see for example
This post will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of XXEA and how to adopt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to SAML, including some special problems you have to cope with.

First, we introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of Document Type Definition (DTD) and XML External Entity (XXE), and afterwards some basics on SAML. If you are fimiliar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts, you may want to skip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sections and go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last section XXEA on SAML.

Montag, 20. Oktober 2014

Single Sign-On

Single Sign-On

Using aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication via Single Sign-On (SSO) has many advantages over simple Username/Password mechanisms. Whereas for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user has to remember multiple different Username/Password combinations, this overhead can be significantly reduced with SSO. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of Username/Password relies solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, but SSO allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of several technical measures to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login procedure.





Mittwoch, 1. Oktober 2014

Verification of SAML Tokens - Traps and Pitfalls

Verification of SAML Tokens - Traps and Pitfalls

This post will describe some findings in Single Sign-On area and problems related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of SAML-based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication interfaces.

We will describe 6 attacks: Replay Attack, Token Recipient Confusion, Signature Exclusion, XML Signature Wrapping, Certificate Faking and Certificate Injection.

All 6 attacks are related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAML SSO interface and are high critical regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security.


Beliebte Posts