<div dir="ltr"><div>Hello group,</div><div><br></div><div>Just saw an interesting talk from Java Zone 2016 about </div><div>OWASP AppSensor which is a set of libraries that provide application level intrusion detection.</div><div><br></div><div>The speaker (Dominik Schadow author of the german Book Java Web Security) mentions </div><div>that having application level intrusion detection has the advantage of taking application </div><div>context into account when assessing a user action compared to a web application firewall that simply scans for &quot;known&quot; attack patterns.</div><div><br></div><div>I think this could be interesting for some public facing parts of Keycloak </div><div>(login, account, password-reset, consent, admin-console, REST endpoints etc.)</div><div><br></div><div>AppSensor comes with a wide variety of predefined DetectionPoints.</div><div>These detection points can be used to identify a malicious user that is </div><div>probing for vulnerabilities or weaknesses:</div><div><a href="https://www.owasp.org/index.php/AppSensor_DetectionPoints">https://www.owasp.org/index.php/AppSensor_DetectionPoints</a></div><div><br></div><div>This could be embedded into the Keycloak Event System by emitting &quot;IDS-Events&quot;</div><div>that could then be analyzed by an EventListener which then performs appropriate actions,</div><div>e.g. logging a user out, lock a user or block the account or even IP address for a while. </div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_AppSensor_Project">https://www.owasp.org/index.php/OWASP_AppSensor_Project</a></div><div><br></div><div><a href="http://www.appsensor.org/">http://www.appsensor.org/</a></div><div><br></div><div>Talk: The Web Application Strikes Back</div><div><a href="https://2016.javazone.no/program/the-web-application-strikes-back">https://2016.javazone.no/program/the-web-application-strikes-back</a></div><div><br></div><div>Example application: duke-encounters</div><div><a href="https://github.com/dschadow/ApplicationIntrusionDetection">https://github.com/dschadow/ApplicationIntrusionDetection</a></div><div><br></div><div>Cheers,</div><div>Thomas</div></div>