Menu

Developers Italia Sviluppiamo i servizi pubblici, insieme

Seguici su

Micro-Id-Gym v2.2

Tool per test sicurezza IdM

MIG è uno strumento per eseguire test di sicurezza e di compliance su implementazioni di protocolli di Identity Management come SAML, OIDC e OAuth.


Funzionalità del software

Assiste gli amministratori di sistema e i security tester nella conduzione di test di sicurezza e di compliance su implementazioni basate su protocolli di Identity Management come per esempio SAML, OpenID Connect (OIDC) e Open Authorization (OAuth).

Comprende una collezione di test human e machine readable per il protocollo di SPID/CIE OIDC.

Integra due implementazioni basate sul protocollo SPID/CIE OIDC.

Informazioni di dettaglio

Micro-Id-Gym v2.2

Tool per test sicurezza IdM

Ultimo rilascio 2024-10-16 (v2.2)

Tipo di manutenzione internal

Stato publiccode.yml

Descrizione estesa

Micro-Id-Gym (MIG) è uno strumento flessibile ed estensibile progettato per assistere gli amministratori di sistema e i security tester nella conduzione di test di sicurezza e di compliance sulle implementazioni di protocolli di Identity Management (IdM) come per esempio SAML, OpenID Connect (OIDC) e OAuth. MIG fornisce sia una suite di strumenti per eseguire test di sicurezza e compliance che testplan (inteso come collezione di test) per implementazioni di protocolli di IdM.

MIG attualmente offre:

  • un testplan per un protocollo/standard, noto anche come testplan human readable, comprende un insieme di specifiche scritte in un formato facilmente comprensibile dagli esseri umani. Descrive i test necessari per convalidare la conformità di uno specifico protocollo/standard. MIG offre attualmente un testplan human readable che copre il protocollo SPID/CIE OIDC;
  • un ambiente di test (i-mig-t) facilmente estendibile che integra (i) un’implementazione di riferimento reperibile da Developers Italia del protocollo SPID/CIE OIDC (spid-cie-oidc-django), che include un OpenID Provider, un Relying Party e un Trust Anchor, (ii) un’implementazione di un Relying Party del protocollo SPID/CIE OIDC (spid-cie-oidc-java), (iii) il web proxy di Burp Suite Community Edition (Burp), e (iv) MIG-T, un tool di sicurezza che consente di eseguire test di sicurezza e di compliance;
  • uno script (testplan-to-pdf.py) progettato per migliorare la leggibilità del testplan human readable convertendolo in formato PDF;
  • uno script (testplan-to-mr.py) per tradurre la maggior parte dei test human readable in un formato machine readable compatibile con MIG-T.

MIG, eseguibile tramite Docker, contiene i container di i-mig-t, Burp e le diverse implementazioni, mentre MIG-T, essendo un plugin di Burp, viene fornito come file JAR. Sfruttando le API messe a disposizione da Burp, vengono intercettati i messaggi HTTP generati dalle user action definite nelle sessioni e indicate nel test. A questi messaggi HTTP vengono quindi applicate le direttive definite nel test. Alla fine dell’esecuzione di ogni test, si ottiene un risultato che ne definisce l’esito.

torna all'inizio dei contenuti