[idar03] Testing Sicurezza Messaggio ModiPA IDAR03 97

Took 9 min 10 sec

All Tests

Name	Age	Duration
[10:363] Il payload della risposta viene modificato in modo da non far coincidere la firma e fare arrabbiare la fruizione	0	1.1 sec
[11:376] Lo header da firmare IDAR03TestHeader viene manomesso nella richiesta	0	0.66 sec
[12:389] Lo header da firmare IDAR03TestHeader viene manomesso nella risposta	0	1 sec
[13:406] Il proxy rimuove lo header integrity per far arrabbiare l'erogazione	0	0.72 sec
[14:418] Il proxy rimuove lo header Digest per far arrabbiare la fruizione	0	0.94 sec
[15:435] Il proxy rimuove lo header Digest per far arrabbiare l'erogazione	0	0.64 sec
[16:447] Il proxy rimuove lo header Digest per far arrabbiare la fruizione	0	0.93 sec
[17:461] Test di un endpoint che non ha il payload nella risposta	0	15 sec
[18:507] Modifco uno degli header firmati in una risposta senza payload	0	1.2 sec
[19:522] Test di un endpoint che non ha il payload nella risposta	0	15 sec
[1:28] Test connettività base	0	15 sec
[20:568] Giro Ok IDAR03 con informazioni utente passate negli header http	0	16 sec
[21:627] Giro Ok IDAR03 con informazioni utente passate negli header http	0	15 sec
[22:685] Giro Ok IDAR03 con informazioni utente passate negli header http	0	15 sec
[23:744] Giro Ok IDAR03 con informazioni utente passate negli header http	0	15 sec
[24:801] Giro Ok IDAR03 con informazioni utente passate negli header http custom	0	15 sec
[25:861] All'erogazione non arrivano nel token i claim con le informazioni utente	0	0.71 sec
[26:872] Alla fruizione non passo gli header per l'informazione utente, facendola arrabbiare	0	62 ms
[27:886] Test connettività base	0	15 sec
[28:937] Giro ok idar03 con il token soltanto nella richiesta	0	8.7 sec
[29:977] Giro ok idar03 con il token soltanto nella risposta	0	2.5 sec
[2:83] Test in cui l'audience viene inviato come array	0	15 sec
[30:1013] Giro ok idar03 con il token abilitato solo sulla richiesta per una specifica azione, globalmente è richiesta/risposta.	0	24 sec
[31:1106] Test con presenza sia dell'header Authorization che Agid-JWT-Signature	0	15 sec
[32:1158] Il payload della richiesta viene modificato in modo da non far coincidere la firma e fare arrabbiare l'erogazione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.71 sec
[33:1170] Il payload della risposta viene modificato in modo da non far coincidere la firma e fare arrabbiare la fruizione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	1 sec
[34:1182] Il proxy rimuove lo header Digest per far arrabbiare l'erogazione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.61 sec
[35:1193] Il proxy rimuove lo header Digest per far arrabbiare la fruizione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.99 sec
[36:1206] Il proxy rimuove lo header Authorization per far arrabbiare l'erogazione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.72 sec
[37:1217] Il proxy rimuove lo header Authorization per far arrabbiare la fruizione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	1 sec
[38:1230] Il proxy rimuove lo header Agid-JWT-Signature per far arrabbiare l'erogazione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.68 sec
[39:1241] Il proxy rimuove lo header Agid-JWT-Signature per far arrabbiare la fruizione (presenza sia dell'header Authorization che Agid-JWT-Signature)	0	0.89 sec
[3:142] Test in cui l'audience viene inviato come array con più valori	0	15 sec
[40:1255] L'erogatore genera un audience, nel token Authorization, differente da quello atteso e registrato sul client (atteso id identico nei due header)	0	2.2 sec
[41:1284] L'erogatore genera un audience, nel token Agid-JWT-Signature, differente da quello atteso e registrato sul client (atteso id identico nei due header)	0	2.1 sec
[42:1312] Test con presenza sia dell'header Authorization che Agid-JWT-Signature nella richiesta e solo Agid-JWT-Signature nella risposta	0	15 sec
[43:1364] L'erogatore genera un audience, nel token Agid-JWT-Signature, differente da quello presente nel token Authorization (sono attesi due valori differenti, nell'authorization quello del client)	0	2.5 sec
[44:1393] L'erogatore genera un audience, nel token Agid-JWT-Signature, differente da quello presente nel token Authorization (sono attesi due valori differenti, nell'authorization quello del client). Il valore inserito nel token Agid è errato.	0	2.2 sec
[45:1421] Il fruitore si attende nei token in risposta una valore statico di audience, rispetto al normale caso dinamico associato al client	0	2.3 sec
[46:1450] Il fruitore si attende nei token in risposta una valore statico di audience, rispetto al normale caso dinamico associato al client. Il valore ritornato non è valido.	0	2.1 sec
[47:1478] Il fruitore si attende nei token in risposta valori statici di audience differenti nei 2 header	0	2.3 sec
[48:1509] Il fruitore si attende nei token in risposta valori statici di audience differenti nei 2 header. Il valore indicato nel token Authorization non è valido	0	2.1 sec
[49:1538] Il fruitore si attende nei token in risposta valori statici di audience differenti nei 2 header. Il valore indicato nel token Agid-JWT-Signature non è valido	0	2 sec
[4:198] Test in cui l'audience viene inviato come array, valore diverso da quello atteso nell'erogazione	0	4.6 sec
[50:1567] Il fruitore genera nei token in richiesta lo stesso valore di audience nei 2 differenti header	0	2.2 sec
[51:1596] Il fruitore genera nei token in richiesta lo stesso valore di audience nei 2 differenti header. Il valore indicato nel token Authorization non è valido	0	1.7 sec
[52:1624] Il fruitore genera nei token in richiesta lo stesso valore di audience nei 2 differenti header. Il valore indicato nel token Agid-JWT-Signature non è valido	0	1.7 sec
[53:1652] Il fruitore genera nei token in richiesta un valore differente di audience nei 2 differenti header	0	2.2 sec
[54:1682] Il fruitore genera nei token in richiesta lo stesso valore di audience nei 2 differenti header. Il valore indicato nel token Authorization non è valido	0	1.8 sec
[55:1710] Il fruitore genera nei token in richiesta lo stesso valore di audience nei 2 differenti header. Il valore indicato nel token Agid-JWT-Signature non è valido	0	1.8 sec
[56:1738] Il fruitore genera nei token in richiesta un valore differente, come array, negli audience nei 2 differenti header	0	3.2 sec
[57:1779] Il fruitore genera nei token in richiesta un valore differente, come array con più valori, negli audience nei 2 differenti header	0	3.1 sec
[58:1820] Il fruitore genera nei token in richiesta un valore differente, come array, negli audience nei 2 differenti header; il valore inserito nell'header authorization non è valido	0	1.8 sec
[59:1849] Il fruitore genera nei token in richiesta un valore differente, come array multiplo, negli audience nei 2 differenti header; il valore inserito nell'header integrity non è valido	0	1.8 sec
[5:234] Test in cui l'audience viene inviato come array con più valori, valore diverso da quello atteso nell'erogazione	0	4.5 sec
[60:1879] L'identificativo jti nei due header viene generato differente sia nella richiesta che nella risposta. Come id messaggio viene usato quello dell'Authorization	0	17 sec
[61:1970] L'identificativo jti nei due header viene generato differente sia nella richiesta che nella risposta. Come id messaggio viene usato quello in Agid-JWT-Signature	0	17 sec
[62:2062] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella richiesta	0	4.6 sec
[63:2110] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella risposta	0	4.7 sec
[64:2155] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella richiesta. Il token 'Authorization e' scaduto'	0	3.3 sec
[65:2202] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella richiesta. Il token 'Agid-JWT-Signature e' scaduto'	0	3.3 sec
[66:2250] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella risposta. Il token 'Authorization e' scaduto'	0	0.76 sec
[67:2265] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella risposta. Il token 'Agid-JWT-Signature e' scaduto'	0	0.74 sec
[68:2281] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella richiesta. I token presentano un claim 'iat' troppo vecchio	0	66 ms
[69:2306] Test con presenza sia dell'header Authorization che Agid-JWT-Signature che presentano date differenti nella risposta. I token presentano un claim 'iat' troppo vecchio	0	0.67 sec
[6:272] Test digest encoding hex	0	15 sec
[70:2324] IDAR03 - Test con criteri autorizzativi per contenuto (es. security token)	0	15 sec
[71:2376] IDAR03 - Test con criteri autorizzativi per contenuto (es. security token) e presenza sia dell'header Authorization che Agid-JWT-Signature	0	16 sec
[72:2429] IDAR03 - Test con criteri autorizzativi per contenuto (es. security token) e presenza sia dell'header Authorization che Agid-JWT-Signature. L'erogazione valida il token authorization anche tramite policy Token.	0	16 sec
[73:2484] Test con presenza dell'header Authorization, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'authorization token	0	16 sec
[74:2536] Test con presenza dell'header Authorization, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'authorization token (solo l'header)	0	15 sec
[75:2589] Test con presenza dell'header Authorization, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'authorization token (solo il payload)	0	15 sec
[76:2641] Test con presenza dell'header Authorization, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'authorization token (solo il payload) e anche un token custom indicato in X-Security-Token	0	15 sec
[77:2694] Test con presenza dell'header Agid-JWT-Signature, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'integrity token	0	15 sec
[78:2746] Test con presenza dell'header Agid-JWT-Signature, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'integrity token (solo l'header)	0	15 sec
[79:2798] Test con presenza dell'header Agid-JWT-Signature, dove viene verificato anche l'utilizzo del security token nelle trasformazioni per inoltrare l'integrity token (solo il payload)	0	16 sec
[7:325] Il payload del token di richiesta viene manomesso in modo da non far corrispondere più la firma e far arrabbiare l'erogazione	0	0.73 sec
[80:2850] Test tramite l'utilizzo di un keystore jks senza password nel keystore e/o nella chiave definito nella fruizione e nella risposta dell'erogazione	0	0.32 sec
[81:2861] Test tramite l'utilizzo di un keystore pkcs12 senza password senza password nel keystore e/o nella chiave definito nella fruizione e nella risposta dell'erogazione	0	0.1 sec
[82.1:2886] Test tramite l'utilizzo di un 'keystoreJksNoPassword-KeyNoPassword' su un integrity senza password nel keystore e/o nella chiave a seconda del tipo di test	0	0.22 sec
[82.2:2887] Test tramite l'utilizzo di un 'keystoreJksNoPassword-KeyWithPassword' su un integrity senza password nel keystore e/o nella chiave a seconda del tipo di test	0	0.1 sec
[82.3:2888] Test tramite l'utilizzo di un 'keystorePkcs12NoPassword-KeyNoPassword' su un integrity senza password nel keystore e/o nella chiave a seconda del tipo di test	0	0.1 sec
[82.4:2889] Test tramite l'utilizzo di un 'keystorePkcs12NoPassword-KeyWithPassword' su un integrity senza password nel keystore e/o nella chiave a seconda del tipo di test	0	0.12 sec
[83.1:2908] Verifica di scenari dove l'integrity viene prodotto sempre	0	1.3 sec
[83.2:2909] Verifica di scenari dove l'integrity non viene prodotto	0	0.86 sec
[83.3:2910] Verifica di scenari dove l'integrity viene prodotto solo nella richiesta	0	0.83 sec
[83.4:2911] Verifica di scenari dove l'integrity viene prodotto solo nella risposta	0	0.86 sec
[84.1:2932] Verifica di scenari dove l'integrity viene atteso dal server nella richiesta, ma il client non lo produce (cliente solo con payload; server sempre)	0	0.63 sec
[84.2:2933] Verifica di scenari dove l'integrity viene atteso dal server nella richiesta, ma il client non lo produce (client solo con payload nella richiesta; server sempreRichiesta)	0	0.66 sec
[84.3:2934] Verifica di scenari dove l'integrity viene prodotto dal client nella richiesta, ma il server non lo attende (client sempre; server solo con payload)	0	0.73 sec
[84.4:2935] Verifica di scenari dove l'integrity viene prodotto dal client nella richiesta, ma il server non lo attende (client sempre nella richiesta; server sempre nella ricsposta)	0	0.93 sec
[84.5:2936] Verifica di scenari dove l'integrity viene atteso dal client nella risposta, ma il server non lo produce (client sempre; server sempre nella richiesta)	0	0.81 sec
[84.6:2937] Verifica di scenari dove l'integrity viene atteso dal client nella risposta, ma il server non lo produce (client sempre nella risposta; server solo con payload)	0	0.74 sec
[84.7:2938] Verifica di scenari dove l'integrity viene prodotto dal server nella risposta, ma il client non lo attende (client sempre nella richiesta; server sempre)	0	0.71 sec
[84.8:2939] Verifica di scenari dove l'integrity viene prodotto dal server nella risposta, ma il client non lo attende (client solo con payload; server sempre nella risposta)	0	0.74 sec
[8:337] Il payload del token di risposta viene manomesso in modo da non far corrispondere più la firma e far arrabbiare la fruizione	0	1 sec
[9:351] Il payload della richiesta viene modificato in modo da non far coincidere la firma e fare arrabbiare l'erogazione	0	0.69 sec