Automatiserade säkerhetstester för identity provider

Sammanfattning: En identity provider är en del av ett system, eller tjänst, som lagrar och hanterar information om användares identiteter och autentiserar användare åt andra applikationer. Tjänsten har möjlighet att logga in användare utan att inloggningsuppgifter behöver skickas mellan de olika parterna över Internet. Detta möjliggörs bland annat tack vare användandet av ramverket IdentityServer4 och protokollen Web Services Federation och OAuth 2.0. Arbetet fokuserar på vilka olika automatiserade säkerhetstester som en identity provider (IdP) bör genomföra för att inte av misstag introducera säkerhetsrisker under uppdateringar hos tjänsten. Detta genomförs genom att först samla de attacker som tjänsten riskerar att bli utsatt för. Exempelvis finns risken att bli utsatt för Server-Side Request Forgery på grund av hur protokollen är utformade. Därefter införs säkerhetstester hos en IdP som hanterar exempel från de redovisade attackerna. Detta görs genom färdiga verktyg och genom manuella säkerhetstester av IdPn. Resultatet av detta är att en del befintliga risker kunde upptäckas genom de färdiga verktygen. Även genom de manuella testerna kunde risker hittas. Samtliga risker åtgärdades utifrån resultaten. Dock är det mycket tids- och resurskrävande att hindra en stor del av samtliga säkerhetsrisker med hjälp av automatiserade säkerhetstester.