Auth & Identität
OAuth, JWT, SSO, Zero-Trust — beim ersten Mal richtig gebaut.
Alle die die Login-Surface eines Prod-Systems verantworten.
Die Login-Surface ist wo jeder Breach beginnt. Session-Hijacks, JWT alg:none, Confused-Deputy OAuth-Flows, MFA-Bypasses, Passwort-Reset der mehr resettet als gedacht. Wenn dein Produkt User hat, ist dieser Track derjenige der den Incident-Report kurz hält.
Auth ist der am meisten angegriffene und am wenigsten geliebte Layer in moderner SaaS. Der Track ist strukturiert um die spezifischen Failure-Modes herum die Firmen auf die Titelseite von HackerNews bringen — und die Ein-Absatz-Fixes die sie verhindern.
- M-001
Defend against the JWT alg:none attack — pin algorithm, validate claims
The JWT library trusts the algorithm from the token header. Attacker sets alg:none → forges any role. Pin RS256 server-side, validate iss/aud/exp, cut token lifetime to 15 min.
⏱️ 10 min⚡ 200 XP🎯 6 goalsLaunch → - M-002
Secure session cookies: HttpOnly, Secure, SameSite, __Host-, short Max-Age
XSS exploit reads document.cookie and exfiltrates the session token. Session cookie is missing HttpOnly, Secure, SameSite. CSRF is also trivially possible. Fix all five.
⏱️ 11 min⚡ 220 XP🎯 6 goalsLaunch → - M-003
OAuth2 PKCE: secure public client authorization flow
Your mobile app uses deprecated implicit flow. Migrate to PKCE: responseType=code, code_verifier, code_challenge (SHA-256).
⏱️ 12 min⚡ 230 XP🎯 5 goalsLaunch →
Concrete outcomes. No lecture notes.
- 01Eine OAuth-2.1-+-PKCE-Implementation die Confused-Deputy-Angriffen widersteht
- 02JWT-Handling das alg:none, Key-Confusion und Replay ablehnt
- 03Session-Management designt für 2026 (Cookies vs Tokens, sane Defaults)
- 04Ein Passkey/WebAuthn-Rollout den du wirklich für echte User aktivieren kannst
- 05Eine SAML-+-OIDC-SSO-Integration die dem IdP nicht stillschweigend vertraut
- 06Account-Recovery-Flows die keine Backdoor sind
- 07Anti-Automation-Defences kalibriert ohne echte User zu verärgern
- 08Logout das wirklich ausloggt (nicht die halbkaputte Version die die meisten Libs shippen)
- ▸Teams die die Login-Surface einer Prod-SaaS besitzen
- ▸Security-Engineers die auf einen Pentest-Finding zu Auth reagieren
- ▸Startups die sich auf SOC 2 / ISO 27001 vorbereiten
- ▸B2B-Produkte die SSO + SCIM für Enterprise-Kunden hinzufügen
Adressiert direkt SOC 2 CC6, ISO 27001 A.9 (Zugriffskontrolle), NIS2 Artikel 21 Verschlüsselung + Authentifizierung und DORA Kapitel II ICT-Risikomanagement-Anforderungen zu Identität.
Unser Pentest flaggte 6 Auth-Issues. Wir haben den Auth-&-Identity-Track gegen ein Staging-Environment gefahren. Fünf waren direkt abgedeckt. Den sechsten haben wir vor dem nächsten Pentest gefixt. Keine Auditor-Tränen.
Defender III — Auth & Identity
10 Missionen + Capstone wo du eine bewusst verwundbare Auth-Implementation auditest und einen Remediation-PR shipst.
- ✓W3C Verifiable Credential — Auth-&-Identity-Spezialisierung
- ✓Referenz-Implementations in Node, Go, Python
- ✓Early Access zum Auth-Forensics-Tool (dekodiert + bewertet echte Auth-Flows)
- ✓Listing im Public-Directory (opt-in)
Questions we already got.
Welchen Stack setzt der Track voraus?+
Node/Go/Python Beispiele pro Mission. Pattern ist stack-agnostisch; Code-Samples in den häufigsten Sprachen.
Deckt ihr custom IAM ab?+
Wir zeigen wann du KEIN custom IAM bauen solltest. Für die ~5 % Cases die es rechtfertigen, deckt der Track die Design-Fallen ab.
Ist Passkey / WebAuthn abgedeckt?+
Ja — dedizierte Mission. Inkl. Rollout-Strategie, Fallback-Flows und wann nicht zu nutzen.
Wöchentlicher Security-Report
Kritische CVEs, Fix-Anleitungen und Hardening-Tipps — kostenlos, jede Woche.