Fase 3 — Mitigar

La Fase 3 crea una prueba comparativa antes/después de la mitigación de CSD. Se vuelve a ejecutar el ataque sin mitigaciones para establecer una línea base, se aplican las mitigaciones y luego se vuelve a ejecutar el mismo ataque para demostrar que CSD bloquea las llamadas de red. La Fase 2 debe estar completa — todas las verificaciones DET deben estar en estado PASS — antes de continuar.

Nota

La mitigación de CSD bloquea la carga de scripts desde dominios mitigados. Cuando un dominio está en la lista de mitigación, el JavaScript de CSD intercepta las URL de origen de las etiquetas <script> e impide que los scripts se carguen, deteniendo los ataques a la cadena de suministro en el origen. CSD no intercepta llamadas fetch() ni XMLHttpRequest. Esta fase captura la prueba del bloqueo de scripts ejecutando el mismo ataque antes y después de la mitigación.

Precaución

Nota sobre pruebas en vivo: Los endpoints POST/DELETE de mitigación han sido validados en entornos de desarrollo, pero los detalles de comportamiento (tiempo de respuesta, efecto en el estado de detección de scripts) pueden variar según las configuraciones del inquilino. Si observa respuestas inesperadas, consulte la Referencia de API para las definiciones canónicas de los endpoints.

Paso 1: Confirmar que no hay mitigaciones activas (línea base)

Antes de capturar la instantánea “antes”, verifique que el entorno esté limpio — no deben estar activas mitigaciones. Esto asegura que el ataque de línea base se ejecute sin ningún bloqueo de CSD.

Verificar el recuento de dominios mitigados

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq '{count: (.items | length)}'

Si el recuento no es 0, quedan mitigaciones de una ejecución anterior. Elimine cada una antes de continuar:

# Eliminar un dominio mitigado (repetir para cada nombre de dominio)
curl -s -X DELETE \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains/<domain-name>" \
  | jq .

Reemplace <domain-name> con el metadata.name utilizado cuando se mitigó el dominio (p. ej., cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io, httpbin.org, jsonplaceholder.typicode.com). Si la limpieza de httpbin.org deja un elemento restante, también intente eliminar www.httpbin.org — algunas ejecuciones anteriores pueden haber usado ese nombre como metadata.

Confirmar que las detecciones de la Fase 2 están presentes

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Evidencia

Verificación	Esperado	Estado
Recuento de dominios mitigados	0 (línea base limpia)	PASS si es 0, requiere limpieza si es > 0
Recuento de dominios detectados	> 0 (detecciones de la Fase 2 presentes)	PASS si es > 0
Dominios de exfiltración presentes	www.httpbin.org, jsonplaceholder.typicode.com	PASS si aparece al menos uno

Paso 2: Ejecutar el ataque — antes de la mitigación

Vuelva a ejecutar la simulación combinada sin mitigaciones activas para capturar una línea base nueva. Esta es la instantánea “antes” — prueba de que los ataques tienen éxito cuando no se aplica la mitigación de CSD.

Nota

Este paso requiere la ejecución de JavaScript en el navegador — curl no puede activar la detección de CSD. Los asistentes de IA con herramientas de automatización del navegador (MCP Chrome DevTools, Playwright, Puppeteer) ejecutan estos pasos directamente mediante la secuencia de Ejecución automatizada por IA que se describe a continuación. Los operadores sin automatización del navegador realizan los pasos manuales.

Ejecución automatizada por IA

Los asistentes de IA con herramientas de automatización del navegador ejecutan la simulación del ataque de forma programática utilizando el mismo initScript de la Fase 2 (que guarda el fetch nativo):

1. Navegar con initScript — primero navegue a about:blank para asegurar un contexto de documento limpio (evita initScripts obsoletos de navegaciones anteriores), luego use navigate_page hacia http://$F5XC_DOMAINNAME/#/login con el initScript de la Fase 2 (código literal en Fase 2 — Ejecución automatizada por IA). Este initScript guarda setInterval, clearInterval, fetch y console.log nativos — la referencia a fetch nativo es correcta aquí porque no hay mitigaciones activas
2. Descartar el banner de bienvenida — use press_key con Escape para cerrar el banner de bienvenida. En visitas posteriores, el banner puede no aparecer (cookies persistidas). El diálogo de consentimiento de cookies se descarta automáticamente con la tecla Escape
3. Esperar a que finalice — espere 10 segundos para que se completen todas las devoluciones de llamada de carga/error de scripts CDN y las resoluciones de promesas fetch
4. Capturar evidencia — use list_console_messages para verificar la presencia de [CSD Demo] Simulation complete y los resultados de carga de CDN; use list_network_requests filtrado por tipos script y fetch para verificar los códigos de estado HTTP (200/201 para éxito)

Precaución

Incompatibilidad con zone.js — Juice Shop utiliza zone.js de Angular, que parchea setTimeout, setInterval, fetch, XMLHttpRequest y otras API del navegador. Esto rompe las herramientas evaluate_script, fill y click de MCP con el error Cannot read properties of undefined (reading 'call'). Utilice navigate_page con initScript en su lugar — initScript se ejecuta antes de que zone.js se cargue, por lo que puede guardar referencias a API nativas y usarlas en las devoluciones de llamada de sondeo. El initScript debe rellenar los campos del formulario usando el setter nativo HTMLInputElement.prototype.value (no fill) y ejecutar el script de detección de forma inline (no mediante setTimeout, que zone.js puede interceptar después de la carga de la página). Consulte Detección de activación — Ejecución automatizada por IA para más detalles.

Nota

Acumulación de initScript — cada llamada a navigate_page con un parámetro initScript añade el script a una lista persistente que se ejecuta en cada carga de documento posterior. Para evitar que scripts obsoletos interfieran, navegue a about:blank entre ejecuciones o use new_page con isolatedContext para obtener un contexto de navegador limpio.

Ejecución manual

Los operadores sin herramientas de automatización del navegador ejecutan la simulación manualmente usando el mismo procedimiento que en Fase 2 — Paso 8: Simulación del ataque:

1. Navegue a http://xF5XC_DOMAINNAMEx/#/login
2. Ingrese credenciales ficticias en los campos de correo electrónico y contraseña (no envíe el formulario)
3. Abra DevTools — presione F12 y cambie a la pestaña Console
4. Pegue y ejecute el Script de detección combinado desde Detección de activación
5. Observe la salida de la consola — todos los scripts CDN deben cargarse y las llamadas de exfiltración deben tener éxito con respuestas 200/201

Evidencia — antes de la mitigación

Verificación	Esperado (antes de la mitigación)	Estado
Scripts CDN inyectados	Las 4 etiquetas de script se cargan — aparecen mensajes [Supply Chain] Loaded from, la pestaña de red muestra 200	PASS
Fetch de exfiltración a www.httpbin.org	La pestaña de red muestra 200 — datos enviados	PASS
Fetch de exfiltración a jsonplaceholder.typicode.com	La pestaña de red muestra 201 — datos enviados	PASS
Salida de consola	[CSD Demo] Simulation complete	PASS

Nota

Verificación con solicitudes de red: La evidencia más confiable es la pestaña Network (o list_network_requests para asistentes de IA), no las devoluciones de llamada de la consola. Zone.js en Juice Shop puede romper las devoluciones de llamada .then() de las promesas y los manejadores onload de los scripts, lo que hace que los mensajes de la consola estén incompletos incluso cuando las solicitudes de red tienen éxito. Siempre compare la salida de la consola con los códigos de estado de las solicitudes de red.

Consejo

Esta es la prueba de línea base: sin mitigaciones activas, los scripts del atacante se cargan libremente y la exfiltración de datos tiene éxito. Guarde o tome una captura de pantalla de esta evidencia — la comparará directamente con los resultados “después” en el Paso 5.

Paso 3: Aplicar mitigaciones

Para cada dominio detectado, realice un POST al endpoint de dominios mitigados. Los objetivos principales de la simulación de la Fase 2 son los 4 dominios de inyección CDN y cualquier dominio de exfiltración de datos detectado.

Objetivos principales de mitigación (del script de simulación combinado):

Dominio	Función
cdn.jsdelivr.net	Inyección de scripts CDN
esm.sh	Inyección de scripts CDN
unpkg.com	Inyección de scripts CDN
ga.jspm.io	Inyección de scripts CDN
www.httpbin.org	Endpoint de exfiltración de datos
jsonplaceholder.typicode.com	Endpoint de exfiltración de datos

Nota

El cuerpo del POST requiere tanto metadata.name (el identificador del objeto) como spec.mitigated_domain (la cadena de dominio que CSD clasificará). Ambos deben estar configurados — spec: {} provoca un error 400. Para la mayoría de los dominios, ambos campos usan el mismo valor (p. ej., cdn.jsdelivr.net). Consulte la excepción de httpbin.org a continuación.

Mitigar un dominio (ejecutar una vez por dominio):

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "cdn.jsdelivr.net",
      "namespace": "xF5XC_NAMESPACEx"
    },
    "spec": {
      "mitigated_domain": "cdn.jsdelivr.net"
    }
  }' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

Repita para cada dominio:

esm.sh

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"esm.sh","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"esm.sh"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# unpkg.com
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"unpkg.com","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"unpkg.com"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# ga.jspm.io
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"ga.jspm.io","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"ga.jspm.io"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# httpbin.org — use www.httpbin.org as mitigated_domain (see note below)
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"httpbin.org","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"www.httpbin.org"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# jsonplaceholder.typicode.com
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"jsonplaceholder.typicode.com","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"jsonplaceholder.typicode.com"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

Nota

Restricción eTLD+1 de httpbin.org: La API rechaza los dominios eTLD+1 sin subdominio como valores de mitigated_domain con "Invalid root domain: cannot derive eTLD+1". Use www.httpbin.org como valor de spec.mitigated_domain manteniendo httpbin.org como metadata.name. La mitigación se aplica correctamente — el identificador name es el que aparece en la lista de dominios mitigados. Cualquier dominio sin subdominio utilizado como destino de exfiltración en un script de simulación personalizado tendrá la misma restricción.

Una respuesta 200 devuelve el objeto de dominio mitigado creado. Una respuesta 409 significa que el dominio ya está en la lista de mitigados — esto es una condición de éxito.

Paso 4: Verificar que las mitigaciones se han aplicado

Liste todos los dominios mitigados y confirme que el recuento coincide con el número de dominios enviados:

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq '{count: (.items | length)}'

Nota

El endpoint de lista de dominios mitigados devuelve elementos con metadata.name nulo para TODOS los elementos — los nombres de dominio individuales no son visibles en la respuesta de lista. Verifique comprobando que el recuento de elementos sea igual al número de solicitudes POST realizadas (6 para la simulación estándar). La respuesta 200 de cada POST individual en el Paso 3 es la evidencia autoritativa de que cada mitigación fue creada. Si el recuento es 1 con un elemento de nombre nulo y no se aplicaron mitigaciones, trate el recuento como 0 — esto es un artefacto del backend (consulte Verificación previa para la regla de decisión).

Evidencia

Verificación	Esperado	Estado
Recuento de dominios mitigados	6 (coincide con el recuento de POST)	PASS si el recuento coincide
Todos los POST del Paso 3 devolvieron 200 o 409	Cada dominio aceptado	PASS

Si el recuento es menor al esperado, vuelva a ejecutar el comando POST para el dominio faltante del Paso 3.

Paso 5: Ejecutar el ataque — después de la mitigación

Vuelva a ejecutar la misma simulación combinada para capturar la instantánea “después”. El script de simulación es idéntico — solo ha cambiado el estado de mitigación de CSD. Las cargas de scripts desde dominios mitigados ahora son bloqueadas por el JavaScript de CSD (el src de la etiqueta <script> se vacía a una cadena vacía).

Nota

Este paso utiliza la misma secuencia de automatización del navegador que el Paso 2. La diferencia no está en lo que se ejecuta, sino en lo que se observa. Con las mitigaciones activas, CSD bloquea las cargas de etiquetas <script> desde dominios mitigados. Las llamadas a la API Fetch hacia dominios de exfiltración mitigados aún se completan — la mitigación de CSD apunta a la carga de scripts, no a las llamadas fetch/XHR.

Ejecución automatizada por IA

Los asistentes de IA con herramientas de automatización del navegador vuelven a ejecutar la simulación del ataque de forma programática usando el mismo initScript de la Fase 2 (código literal en Fase 2 — Ejecución automatizada por IA). El initScript guarda fetch nativo para evitar errores de zone.js — esto no afecta la mitigación de CSD porque CSD no intercepta las llamadas fetch().

1. Navegar con initScript — use new_page con isolatedContext para obtener un contexto de navegador limpio (evita initScripts obsoletos del Paso 2), luego navegue a about:blank y después a la página de inicio de sesión con el initScript de la Fase 2
2. Descartar el banner de bienvenida — use press_key con Escape
3. Esperar a que finalice — espere 10 segundos para todas las devoluciones de llamada asíncronas
4. Capturar evidencia — use list_console_messages para verificar la presencia de [CSD Demo] Simulation complete; use list_network_requests filtrado por tipos script y fetch para observar que las cargas de scripts CDN están ausentes (CSD vació el src del script) mientras que las llamadas fetch a los dominios de exfiltración aún se completan normalmente

Ejecución manual

Los operadores sin herramientas de automatización del navegador vuelven a ejecutar la simulación manualmente usando el mismo procedimiento que en Fase 2 — Paso 8: Simulación del ataque:

1. Navegue a http://xF5XC_DOMAINNAMEx/#/login
2. Ingrese credenciales ficticias en los campos de correo electrónico y contraseña (no envíe el formulario)
3. Abra DevTools — presione F12 y cambie a la pestaña Console
4. Pegue y ejecute el Script de detección combinado desde Detección de activación
5. Observe la salida de la consola y la red — las devoluciones de llamada onload y onerror de los scripts CDN no se activan para los dominios mitigados (CSD vació el src del script a una cadena vacía, evitando completamente la solicitud de red). Las llamadas fetch a los dominios de exfiltración (www.httpbin.org, jsonplaceholder.typicode.com) aún se completan con respuestas 200/201 — la mitigación de CSD bloquea la carga de scripts, no las llamadas fetch/XHR

Tiempo de propagación de mitigaciones

Se espera que el JavaScript de CSD bloquee la carga de scripts desde dominios mitigados interceptando el setter src de la etiqueta <script>. Sin embargo, en pruebas sobre HTTP (puerto 80), no se observó el vaciado del src del script dentro de los 5 minutos posteriores a la aplicación de las mitigaciones — todos los scripts CDN continuaron cargándose normalmente. Esto puede indicar que la propagación de las mitigaciones requiere más de 5 minutos, o que el mecanismo se comporta de manera diferente sobre HTTP frente a HTTPS. Si no se observa el bloqueo por mitigación, espere tiempo adicional de propagación y verifique que el script de telemetría de CSD haya actualizado su configuración.

Las llamadas fetch no son interceptadas por la mitigación de CSD (verificado). Las llamadas fetch de exfiltración a dominios mitigados (www.httpbin.org, jsonplaceholder.typicode.com) aún se completan normalmente con respuestas 200/201, tanto antes como después de la mitigación. La mitigación de CSD apunta al vector de la cadena de suministro (carga de scripts maliciosos), no a la exfiltración de datos mediante fetch/XHR. Use el mismo initScript de la Fase 2 (con fetch nativo guardado) tanto para el Paso 2 como para el Paso 5.

Evidencia — después de la mitigación

Verificación	Esperado (después de la mitigación)	Estado
Cargas de scripts CDN	Bloqueadas — los scripts no aparecen en la pestaña de red (CSD vació src a una cadena vacía)	PASS
Devoluciones de llamada de scripts CDN	Ni onload ni onerror se activan para dominios mitigados	PASS
Fetch de exfiltración a www.httpbin.org	200 — el fetch aún se completa (CSD no intercepta fetch)	INFO
Fetch de exfiltración a jsonplaceholder.typicode.com	201 — el fetch aún se completa (CSD no intercepta fetch)	INFO
Salida de consola	[CSD Demo] Simulation complete	PASS

Consejo

La verificación en el backend es la prueba más confiable. Si el bloqueo de scripts visible en el navegador no se observa dentro del plazo de la demostración, use la respuesta de la API /detected_domains como evidencia principal. El recuento de mitigatedDomains y el actionNeededCount reducido en el resumen de dominios confirman que las mitigaciones están activas en el backend, incluso si el JavaScript de CSD en el navegador aún no ha actualizado su configuración para aplicar el bloqueo.

Paso 6: Comparación antes vs después

Este es el resultado de la demostración — evidencia lado a lado que prueba que el mismo ataque, en la misma página, con el mismo script, ahora produce un resultado completamente diferente.

Tabla comparativa

Señal	Antes de la mitigación (Paso 2)	Después de la mitigación (Paso 5)
Cargas de scripts CDN	200 — los 4 scripts CDN se cargan normalmente	Bloqueadas — scripts ausentes de la pestaña de red (CSD vació src a una cadena vacía)
Devoluciones de llamada onload de CDN	Aparecen mensajes [Supply Chain] Loaded from	No se activan devoluciones de llamada (no se realizó ninguna solicitud de red)
Exfiltración a www.httpbin.org	200 — datos exfiltrados	200 — el fetch aún se completa (CSD no intercepta fetch)
Exfiltración a jsonplaceholder.typicode.com	201 — datos exfiltrados	201 — el fetch aún se completa (CSD no intercepta fetch)
API de dominios mitigados de CSD	0 mitigados	6 mitigados

Verificar la mitigación en los datos del backend

Consulte /detected_domains cada 60 segundos durante un máximo de 10 iteraciones (10 minutos). Proceda a la tabla comparativa una vez que la consulta devuelva resultados, o después del máximo de 10 minutos — estas verificaciones son informativas y no bloquean la Fase 4.

Verificar dominios detectados después de la mitigación:

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Verificar scripts con estado de mitigación:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

Resumen de evidencia de la Fase 3

Verificación	Esperado	Estado
Línea base limpia (Paso 1)	0 dominios mitigados al inicio	PASS / FAIL
Antes — el ataque tiene éxito (Paso 2)	Los scripts se cargan, la exfiltración devuelve 200/201	PASS / FAIL
Mitigaciones aplicadas (Paso 3)	Los 6 dominios aceptados mediante POST (200 o 409)	PASS / FAIL
Recuento de mitigados confirmado (Paso 4)	6 elementos en la lista	PASS / FAIL
Después — cargas de scripts bloqueadas (Paso 5)	Scripts CDN ausentes de la pestaña de red, las llamadas fetch aún se completan	PASS / FAIL
Comparación antes vs después (Paso 6)	Diferencia clara entre la evidencia del Paso 2 y el Paso 5	PASS / FAIL

Nota

Las actualizaciones del estado de detección después de la mitigación pueden tardar en aparecer en la respuesta de la API. Si los dominios aún muestran “Acción necesaria” inmediatamente después de la mitigación, consulte /detected_domains cada 60 segundos durante un máximo de 10 iteraciones (10 minutos). Si aún no se actualiza después de 10 iteraciones, registre el estado actual como INFO — esto no bloquea la Fase 4.

---

Fase 3 completa. Proceda a la Fase 4 — Desmontaje cuando esté listo para eliminar todos los objetos de implementación.