Single Sign-On pažeidžiamumų mokymai

Šis kursas padės geriau suprasti grėsmes, kylančias moderniems Single Sign-On (SSO) protokolams OAuth, OpenID Connect ir SAML. Bus paaiškintos pagrindinės sąvokos, SSO terminologija ir žingsniai, kuriais vyksta SSO prisijungimas. Praktinių užsiėmimų metu išmoksite atpažinti  SSO protokolus naudojamus programose ir sužinosite, ką galima pasiekti, manipuliuojant specifiniais SSO protokolų parametrais. Taip pat bus paaiškintos esminės gynybos priemonės, leidžiančios užkirsti kelią atakoms.

 
 

 Kursų turinys:

  • Įžanga į Burp

  • Single Sign-On pagrindai:

    • OAuth & OpenID Connect

    • Flows:

      • Code flow

      • Implicit flow

      • Hybrid flow

      • Other flows

      • Flows cheat sheet (x)*

  • Bendros atakos taikomos ‘Single Sign-On  Service and Identity Provider’ tiekėjams

    • Atakos:

      • Clickjacking

      • ‘state’ parametro atakos: XSS

      • ‘state’ parametro atakos: CSRF (x)*

      • Redirects in SSO: Cut-and-Paste ataka (x)*

      • Authentication vs.  Authorization

    • OpenID Connect: id_token atakos

      • Replay

      • Wrong Recipient

      • Signature Bypass (x)*

      • Key confusion (x)*

    • Gynybos priemonės

 

 

Mokymų trukmė: 1 diena (8 val.)

Kursų kaina vienam žmogui: 300 EUR (kavos pertraukėlės ir pietūs - įskaičiuoti)

Kursų vieta: Vilnius, Kaunas

 

  • SAML Assertion

  • SAML atakos

    • XML Signature Wrapping on SAML

    • Signature Exclusion

    • Certificate Faking

    • XML External Entity (x)*

    • XSLT Attack

    • Replay Attacks

    • Recipient Confusion

    • Signature Wrapping (x)*

    • Certificate Injection

  • SAML-based Single Sign-On

    • Atakos taikomos Identity Provider

    • Atakos taikomos  Service Provider

    • XSS/CSRF/Clickjacking

*Temos su pratimais

 

Looks like something you might be interested in? 

Get in touch via careers.lt@visma.com

Registracijos formą rasite