Autenticazione

I test realizzati tramite il tool TestNG verificano le autenticazioni https, http-basic, principal e api-key.

I sorgenti sono disponibili in protocolli/trasparente/testsuite/src relativamente ai seguenti package:

Evidenze disponibili in:

Ulteriori evidenze dei test mirati alle sole API di tipo REST che verificano la gestione di header HTTP quali “WWW-Authenticate”, “Authorization” etc sono disponibili in:

Altri test vengono realizzati tramite il tool JUnit e verificano le autenticazioni tramite token OAuth2, e il forward delle credenziali tramite header HTTP dove l’autenticazione viene effettuata da un webserver. Vengono inoltre verificate le autenticazioni https, http-basic, principal e api-key già verificate tramite TestNG relativamente ai soli applicativi di dominio esterno.

I sorgenti sono disponibili in protocolli/trasparente/testsuite/karate/src relativamente ai seguenti package:

Evidenze disponibili in:

Infine, sono disponibili script automatici che verificano il corretto funzionamento delle procedure di login sia sulle console sia sulle API di gestione e di monitoraggio. Durante tali verifiche si attesta l’assenza delle seguenti criticità:

tentativi di brute force (CWE-307);
corretta applicazione dei criteri di autorizzazione;
per le sole console, assenza della vulnerabilità di session fixation (CWE-384).

I sorgenti delle verifiche sono disponibili in:

console di gestione (govwayConsole): tools/web_interfaces/control_station/testsuite/scripts/verifica_accesso_console_gestione.sh
console di monitoraggio (govwayMonitor): tools/web_interfaces/monitor/testsuite/scripts/verifica_accesso_console_monitoraggio.sh
API di gestione (govwayAPIConfig): tools/rs/config/server/testsuite/scripts/verifica_stato_api_configurazione.sh
API di monitoraggio (govwayAPIMonitor): tools/rs/monitor/server/testsuite/scripts/verifica_stato_api_monitoraggio.sh

Evidenze disponibili nell’output console dell’ambiente di Continuous Integration Jenkins di GovWay.