Single Sign-On Pentest

Schützen Sie Ihre Nutzer & Anwendungen

Was sind Einfallstore für Angreifer bei Single Sign-On-Verfahren?

Immer mehr Anwendungen setzen heutzutage auf das Single Sign-On-Verfahren (SSO) zur Nutzer-Authentifizierung. Das Verfahren ermöglicht es Nutzern, sich bei mehreren Anwendungen über einen vertrauenswürdigen Anbieter (Identity Provider), wie z.B. Google oder Facebook, anzumelden. Hierzu werden häufig Lösungen eingesetzt, die auf bekannten Standards wie OpenID Connect 1.0, OAuth 2.0 oder auch SAML basieren. Die Anmeldedaten werden so nicht mehr bei der eigentlichen Anwendung (Service Provider), sondern lediglich beim Identity Provider gespeichert.

Im privaten Alltag bereits weitverbreitet, kommt die Authentifizierungsmethode auch im Unternehmenskontext immer mehr zum Einsatz und ist wesentlicher Bestandteil des Identity und Access Managements bei Unternehmen und Softwarelösungen. Fehlkonfigurationen oder Schwachstellen der implementierten Lösung können weitreichende Folgen haben, bis hin zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit der Anwendungs- und Nutzerdaten. 

Bei unserem Pentest überprüfen unsere Security Analyst*innen Ihre SSO-Lösung umfassend auf diese Verwundbarkeiten, sodass Sie diese anschließend beheben können.

Häufige Schwachstellen beim Single Sign-On-Verfahren sind beispielsweise: 

  • Fehlende Validierung bei Weiterleitung nach erfolgreichem Login 
  • Ausweitung der Nutzerrechte durch mangelnde Zugriffskontrollen 
  • Nutzung von schwachen JWT secrets 
  • Verwendung von veralteten und unsicheren Authentication & Authorization Flows 

Wie gehen wir beim Single Sign-On Pentest vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Single Sign-On Pentests um spezifische Elemente erweitert wird:

Jede SSO-Lösung ergibt sich aus dem Zusammenspiel zwischen Service Provider und Identity Provider. Eine eingehende Analyse Ihrer SSO-Lösung erfordert daher ein tiefgreifendes Verständnis der Anwendung und des zugrundeliegenden SSO-Standards. Ausgangslage unseres Pentests sind die zur Verfügung gestellten Testaccounts verschiedener Rollen, die unseren Security Analyst*innen Zugriff auf die Anwendung geben und die Analyse des Authentication und Authorization Flows ermöglichen. Anschließend überprüfen unsere Security Analyst*innen Ihre SSO-Lösung umfassend auf mögliche Verwundbarkeiten und Einhaltung von Best Practices, wie die OAuth 2.0 Security Best Current Practice.

 

Welche Überprüfungen sind beim Single Sign-On Pentest Bestandteil?

Die folgenden Prüfungen sind unter anderem Bestandteil von Single Sign-On Pentests:

  • Ablauf der Authentifizierung unter Einhaltung aller Security Best Practices
  • Identifikation von preisgegebenen sensiblen Daten innerhalb des Tokens, der URL oder der Anwendung
  • Analyse der Interaktion zwischen Nutzern, Identity Providern und Service Providern
  • Fehlkonfiguration bei Verwendung von Standardsoftware wie Keycloak oder AWS Cognito
  • Suche nach bekannten Schwachstellen
  • Ausnutzung identifizierter Schwachstellen mittels verfügbarer oder individuell angepasster Exploits (nach Absprache)
  • Überprüfung der Signaturvalidierung bei JWTs und SAML

Das Single-Sign-On-Verfahren birgt Chancen aber auch viele Risiken. Zum besseren Verständnis der Authentifizierungsmethode führen wir daher optional Schulungen zum Thema SSO durch. Hier vermitteln wir Ihnen die Grundlagen und Best Practices. Im Zuge des eintägigen Workshops konfigurieren die Teilnehmer*innen einen Identity Provider, erstellen eine Anwendung und lernen so, beide möglichst sicher miteinander zu verknüpfen.

Sind Ihre Systeme gegen Angreifer geschützt?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Single Sign-On-Lösung von unseren Security Analyst*innen überprüfen zu lassen. Sprechen Sie uns einfach an.

Mehr Einblicke

Pentest: Unsere einheitliche Vorgehensweise

Pentest: Ihre Vorteile auf einen Blick

Single Sign-On: Einsatz. Risiken. Tipps für mehr Sicherheit

Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE