【CODE BLUE 2023】湯浅 潤樹 & Junki Yuasa
●Abstract
OSBT: OpenID Connect Scenario-Based Tester [ ja ]
OSBT: OpenID Connect Scenario-Based Tester [ en ]
長らく続いたスピーカーインタビューも今回で最後です。最後を飾るのはBlueboxのカテゴリから「OSBT: OpenID Connect Scenario-Based Tester」の湯浅潤樹(ゆあさ・じゅんき)氏です。湯浅氏は奈良先端科学技術大学院大学の修士課程に在籍。WebセキュリティとID(OAuth、OpenID Connect)の愛好家だといいます。
OSBT(OpenID Connect Scenario-Based Tester)は、OpenID Connectの実装を検査するツールです。OpenID Connectは、OAuth 2.0を基にした認証・認可プロトコルで、ユーザー属性情報のアプリケーション間共有を可能にしますが、誤った実装による脆弱性が問題となることがあり、自動検査ではなくシナリオベースのテストが必要とされています。OSBTは柔軟なシナリオ記述に対応しており、ライブラリやアプリケーションのセキュリティを継続的に自動評価することが可能となり、かなり実用的だと言えます。
This marks the final installment of our long-running speaker interview series. Closing out the series is Mr. Junki Yuasa from the Bluebox category, discussing "OSBT: OpenID Connect Scenario-Based Tester." Mr. Yuasa is currently enrolled in the master's program at the Nara Institute of Science and Technology. He professes to be an enthusiast of web security and identification systems (OAuth, OpenID Connect).
OSBT (OpenID Connect Scenario-Based Tester) is a tool designed to inspect implementations of OpenID Connect, an authentication and authorization protocol based on OAuth 2.0 that enables the sharing of user attribute information between applications. However, vulnerabilities due to incorrect implementations can be an issue, and it's said that automated inspections are not sufficient, necessitating scenario-based testing instead. OSBT supports flexible scenario descriptions, allowing for continuous and automated evaluation of the security of libraries and applications.
●Bio
湯浅 潤樹 [ ja ]
Junki Yuasa [ en ]
●Interview
[ja]インタビュー
Q1 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。
A1. OpenID Connect(OIDC)はシングルサインオンを実現するためのプロトコルです。OIDC実装の脆弱性検出では、攻撃シナリオを模倣することで適切な実装がなされているかを検証する「シナリオベーステスト」が行われることが一般的です。OIDC実装の脆弱性検出ツールを調査していたところ、既存ツールではテストシナリオがツール内部で事前に定義されているため、仕様から推測される一般的な実装ミスしか検出できないという課題があることがわかりました。この課題を解決するために、プログラムを用いてテストシナリオを作成できる「OSBT」の研究開発を始めました。
Q2. 研究の過程でどのような点で苦労しましたか?
A2. テストシナリオの作成をサポートするためにどのような機能を提供するかという点で苦労しました。特に、シナリオ記述の柔軟性と利便性のバランスをとることが大変でした。シナリオ記述の柔軟性を高めることはユーザーが様々な状況、条件下でのテストを行うことを可能にしますが、それと同時にシナリオを記述する難易度が高まるため、結果としてユーザーがOSBTを利用するハードルが上がることが懸念されます。そのため、簡単にテストシナリオを記述できるインターフェースの提供と、カスタマイズ可能なシナリオ作成の両方をサポートするための設計にはとても苦労しました。
Q3 CODE BLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
A3. OAuth/OpenID Connect実装の脆弱性診断に取り組んでいる方は、テスト手順の煩雑さや脆弱性検出の再現性を確保するためのドキュメント化に日々苦労されていることと思います。そのような方々に、OSBTを知っていただきたいです。
[en]Interview
Q1. How did you initiate your journey into the topic that you are presenting?
A1.OpenID Connect (OIDC) is a protocol that facilitates single sign-on. In the detection of vulnerabilities in OIDC implementations, "scenario-based testing" is commonly performed, which involves mimicking attack scenarios to verify whether an implementation is correct. In researching tools for detecting vulnerabilities in OIDC implementations, it was discovered that existing tools have a limitation: the test scenarios are predefined within the tool, meaning they can only detect common implementation mistakes that are inferred from the specification. To overcome this challenge, research and development began on "OSBT," a tool that allows for the creation of test scenarios using programming.
Q2 What were some challenges you faced during this research?
A2. In supporting the creation of test scenarios, we struggled with the provision of functionalities, especially balancing flexibility and convenience in scenario descriptions. Increasing the flexibility of scenario descriptions allows users to conduct tests under various conditions and situations, but at the same time, it raises the difficulty level of writing the scenarios, which consequently can increase the barrier for users to utilize OSBT. Therefore, we had significant difficulties in designing a system that offers an easy-to-use interface for writing test scenarios, as well as supporting the creation of customizable scenarios.
Q3 What message would you like to convey to those considering attending this talk?
A3.Individuals working on the diagnosis of vulnerabilities in OAuth/OpenID Connect implementations likely struggle daily with the complexities of testing procedures and the documentation necessary to ensure the reproducibility of vulnerability detections. I would like such individuals to become aware of OSBT.