102 Sicherheitstests
Jede Validierungsregel wird mit automatisierten Tests für OIDC, SAML, Admin-API und Token-Response-Sicherheit verifiziert.
Testkategorien
Unsere Testsuite deckt alle Aspekte der Keycloak-Sicherheitsvalidierung ab.
OIDC-Validierung
15 TestsGrant-Type-Enforcement, Scope-Validierung, PKCE, State/Nonce, Redirect-URI.
DetailsAdmin-API-Schutz
12 TestsEndpoint-Whitelist, Master-Realm-Blockierung, Export-Prävention, Bulk-Erkennung.
DetailsToken-Validierung
10 TestsJWT-Algorithmus, Lifetime, Claim-Leakage, Token-Größe, Strukturvalidierung.
DetailsRedirect-URI-Sicherheit
8 TestsHTTPS-Enforcement, Localhost-Blockierung, Private-IP-Blockierung, Fragment-Erkennung.
DetailsRealm & Client Isolation
6 TestsRealm-Whitelist, Client-ID-Validierung, clientspezifische Policy-Durchsetzung.
DetailsRate Limiting
8 TestsPer-IP- und Per-Client-Rate-Limiting, Connection-Limiting, Brute-Force-Erkennung.
DetailsEdge Cases
12 TestsMalformierte Tokens, Encoding-Angriffe, Grenzwertanalyse, Fehlerbehandlung.
DetailsBidirektionale Validierung
Request-Validierung (16 Schritte)
Jeder eingehende Request durchläuft die vollständige 16-stufige Validierungspipeline:
- OIDC-Grant-Type- und Scope-Enforcement
- PKCE- und State/Nonce-Validierung
- Admin-API-Endpoint-Whitelist
- SAML-XXE- und Signature-Wrapping-Prävention
- SQL-Injection- und XSS-Erkennung
Response-Validierung (9 Schritte)
Jede Antwort von Keycloak wird validiert, bevor sie Clients erreicht:
- JWT-Algorithmus- und Strukturvalidierung
- Token-Lifetime-Enforcement
- Claim-Leakage-Erkennung
- Sicherheits-Header-Durchsetzung
- Discovery-Dokument- und JWKS-Inspektion
Compliance-Mapping
Unsere Tests sind an Branchenstandards und Vorschriften ausgerichtet.
ISO 27001
Kontrollen für Zugriffskontrolle, Kryptographie und operative Sicherheit.
OWASP Top 10
Vollständige Abdeckung der OWASP API Security Top 10 Risiken.
BSI Grundschutz
IT-Grundschutz-Bausteine für Webanwendungen und Identity Management.
BAIT/VAIT
Branchenspezifische Anforderungen der BaFin für den Finanzsektor.