Webservice Sicherheit

Sicherheit von Webservices und Single Sign-On Technologien

Webservices und Single Sign-On gehören zu den wichtigsten Internettechnologien. Sie werden heutzutage in vielen Bereichen wie Automotive, Gesundheitswesen, E-Government bis hin zu Militärdiensten eingesetzt.

In den letzten Jahren wurde allerdings gezeigt, dass diese Technologien aufgrund von Implementierungsfehlern schwerwiegende Angriffe ermöglichen. Die Angriffe nutzen Komplexität der eingesetzten XML-Standards aus. Sie erlauben es, Daten aus den fremden Servern auszulesen, sich als beliebiger Nutzer zu authentisieren oder vertrauliche Daten zu entschlüsseln.

In dieser Schulung werden die Webservices und Single Sign-On Technologien eingeführt und anhand von Beispielen die zahlreichen Angriffstechniken vorgestellt, z.B.:

  • XML-spezifische Denial-of-Service Angriffe
  • XXE (XML eXternal Entity)-Angriffe
  • Angriffe auf XML Encryption und XML Signature
  • Angriffe auf SAML

Die Teilnehmer bekommen die Möglichkeit, diese Angriffe in einer von uns vorbereiteten virtuellen Maschine selber durchzuführen. Die Angriffe werden zuerst „per Hand“ (z.B. mit soapUI) durchgeführt, um ein Gefühl für die Angriffe zu bekommen. Anschließend werden wir unser Penetrationstest-Tool WS-Attacker vorstellen, mit welchem man viele dieser Angriffe automatisiert abdecken kann.

Zu jedem Angriff werden Gegenmaßnahmen diskutiert und es wird gezeigt, wie man diese Gegenmaßnahmen in bekannten Firewalls umsetzen kann, z.B. in IBM Datapower oder Axway.

Trainer und Dozenten

Dr.-Ing. Christian Mainka

Christian Mainka hat 2017 über die Themen Webservices und Single Sign-On promoviert. Er beschäftigt sich seit 2009 mit Sicherheitsaspekten die durch den Einsatz von Datenbeschreibungssprache wie XML entstehen. Er hat das erste Webservice-spezifische Penetrationstest Tool WS-Attacker entwickelt. Seitdem verbessert und erweitert er das Programm stetig, so dass es mittlerweile ein breites Spektrum der bekannten Angriffe auf Webservices vollautomatisch abdecken kann. In seiner Dissertation „On Message- Level Security“ analysiert er zudem die Sicherheit moderner Single Sign-On Verfahren wie SAML, OAuth und OpenID Connect und deckte zahlreiche Sicherheitslücken auf.

Dr.-Ing. Juraj Somorovsky

Juraj Somorovsky ist ein Sicherheitsforscher an der Ruhr-Universität Bochum und Mitgründer von Hackmanit. Er hat im Jahre 2013 seine Promotion im Bereich XML-Sicherheit erfolgreich abgeschlossen. In seiner Dissertation analysiert er verschiedene Angriffe auf Webservices und kryptographische Algorithmen und stellt praktische Gegenmaßnahmen gegen diese Angriffe vor, welche von anerkannten Standardgremien übernommen wurden. Seine Dissertation wurde mit dem CAST-Preis für die beste Arbeit im Bereich IT-Sicherheit im Jahre 2013 ausgezeichnet.

Zur Zeit arbeitet er als Postdoc am Lehrstuhl für Netz- und Datensicherheit. Mit mehr als 10 Jahren Erfahrung im Bereich der IT-Sicherheit hat er fundiertes Wissen über die Themen Kryptographie und Websicherheit erlangt. Er ist Autor zahlreicher Angriffe auf TLS. Dazu gehören beispielsweise die Angriffe DROWN oder ROBOT, die mit den Pwnie Awards für beste kryptographische Angriffe in den Jahren 2016 und 2018 ausgezeichnet wurden. Juraj Somorovsky präsentierte seine Arbeit auf renommierten wissenschaftlichen und industriellen Konferenzen, darunter USENIX Security, Black Hat, DeepSec oder OWASP Europe.

Beide Trainer sind Gründer der Hackmanit GmbH, welche sich mit Penetrationstests, Schulungen und Sicherheitsanalysen im Bereich IT-Sicherheit beschäftigt.

Voraussetzungen

Diese Schulung richtet sich an zwei Gruppen:

Einerseits an Entwickler, die XML, Webservices und Single Sign-On Systeme praktisch einsetzen.

Zum anderen an Penetrationstester und Sicherheitsforscher, die sich mit dem Thema XML Sicherheit vertraut machen und Webservices und Single Sign-On Systeme evaluieren möchten.

Inhalt

Zu jedem der folgenden Inhalte wird es einen praktischen Teil geben, wobei die Teilnehmer praktische Aufgaben mit soapUI oder anderen Programmen lösen werden.
  • XML und SOAP-basierte Webservices
  • XML Parsing und DTD Angriffe (XXE)
  • XSLT
  • XML-spezifische Denial-of-Service Angriffe
  • XML Security und WS-Security
  • XML Signature
  • XML Encryption
  • Testen mit WS-Attacker
  • REST-basierte Webservices
  • Security Assertion Markup Language (SAML)

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.

Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.