เฟส 3 — ลดผลกระทบ

เฟส 3 สร้าง หลักฐานก่อน/หลัง ของการลดผลกระทบ CSD คุณรันการโจมตีอีกครั้งโดยไม่มีการลดผลกระทบเพื่อสร้างเส้นฐาน จากนั้นใช้การลดผลกระทบ แล้วรันการโจมตีเดิมอีกครั้งเพื่อพิสูจน์ว่า CSD บล็อกการเรียก network ได้ เฟส 2 ต้องเสร็จสิ้นก่อน — การตรวจสอบ DET ทั้งหมดต้องผ่าน (PASS) — จึงจะดำเนินการต่อได้

หมายเหตุ

การลดผลกระทบ CSD บล็อกการโหลดสคริปต์จากโดเมนที่ถูกลดผลกระทบ เมื่อโดเมนอยู่ในรายการลดผลกระทบ JavaScript ของ CSD จะสกัดกั้น URL ต้นทางของแท็ก <script> และป้องกันไม่ให้สคริปต์โหลด — หยุดการโจมตีซัพพลายเชนที่ต้นทาง CSD ไม่สกัดกั้นการเรียก fetch() หรือ XMLHttpRequest เฟสนี้บันทึกหลักฐานการบล็อกสคริปต์โดยรันการโจมตีเดิมก่อนและหลังการลดผลกระทบ

คำเตือน

หมายเหตุการทดสอบจริง: เอนด์พอยต์ POST/DELETE สำหรับการลดผลกระทบได้รับการตรวจสอบในสภาพแวดล้อมการพัฒนาแล้ว แต่รายละเอียดพฤติกรรม (เวลาตอบสนอง, ผลต่อสถานะการตรวจจับสคริปต์) อาจแตกต่างกันตามการกำหนดค่า tenant หากคุณพบการตอบสนองที่ไม่คาดคิด ให้ตรวจสอบ API Reference สำหรับนิยามเอนด์พอยต์ที่เป็นมาตรฐาน

ขั้นตอนที่ 1: ยืนยันว่าไม่มีการลดผลกระทบที่ใช้งานอยู่ (เส้นฐาน)

ก่อนบันทึกภาพ “ก่อน” ให้ตรวจสอบว่าสภาพแวดล้อมสะอาด — ไม่ควรมีการลดผลกระทบที่ใช้งานอยู่ เพื่อให้มั่นใจว่าการโจมตีเส้นฐานรันโดยไม่มีการบล็อกของ CSD

ตรวจสอบจำนวนโดเมนที่ถูกลดผลกระทบ

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq '{count: (.items | length)}'

หากจำนวนไม่ใช่ 0 แสดงว่ายังมีการลดผลกระทบจากการรันก่อนหน้า ให้ลบแต่ละรายการก่อนดำเนินการต่อ:

# ลบโดเมนที่ถูกลดผลกระทบ (ทำซ้ำสำหรับแต่ละชื่อโดเมน)
curl -s -X DELETE \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains/<domain-name>" \
  | jq .

แทนที่ <domain-name> ด้วย metadata.name ที่ใช้เมื่อโดเมนถูกลดผลกระทบ (เช่น cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io, httpbin.org, jsonplaceholder.typicode.com) หากการล้างข้อมูล httpbin.org ยังเหลือรายการค้างอยู่ ให้ลอง delete www.httpbin.org ด้วย — การรันก่อนหน้าบางครั้งอาจใช้ชื่อนั้นเป็น metadata name

ยืนยันว่าการตรวจจับจากเฟส 2 มีอยู่

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

หลักฐาน

การตรวจสอบ	ที่คาดหวัง	สถานะ
จำนวนโดเมนที่ถูกลดผลกระทบ	0 (เส้นฐานสะอาด)	PASS ถ้าเป็น 0, ต้องทำความสะอาดถ้า > 0
จำนวนโดเมนที่ตรวจพบ	> 0 (มีการตรวจจับจากเฟส 2)	PASS ถ้า > 0
มีโดเมน Exfil	www.httpbin.org, jsonplaceholder.typicode.com	PASS ถ้าปรากฏอย่างน้อยหนึ่งรายการ

ขั้นตอนที่ 2: รันการโจมตี — ก่อนการลดผลกระทบ

รันการจำลองรวมอีกครั้งโดยไม่มีการลดผลกระทบที่ใช้งานอยู่ เพื่อบันทึกเส้นฐานใหม่ นี่คือภาพ “ก่อน” — หลักฐานที่พิสูจน์ว่าการโจมตีประสบความสำเร็จเมื่อไม่ได้ใช้การลดผลกระทบ CSD

หมายเหตุ

ขั้นตอนนี้ต้องการการรัน JavaScript ฝั่งเบราว์เซอร์ — curl ไม่สามารถทริกเกอร์การตรวจจับ CSD ได้ ผู้ช่วย AI ที่มีเครื่องมือ automation เบราว์เซอร์ (MCP Chrome DevTools, Playwright, Puppeteer) รันขั้นตอนเหล่านี้โดยตรงโดยใช้ลำดับ การรันอัตโนมัติด้วย AI ด้านล่าง ผู้ปฏิบัติงานที่ไม่มี browser automation ให้ทำขั้นตอนแบบ manual

การรันอัตโนมัติด้วย AI

ผู้ช่วย AI ที่มีเครื่องมือ browser automation รันการจำลองการโจมตีด้วยโปรแกรมโดยใช้ initScript เดียวกับเฟส 2 (ซึ่งบันทึก native fetch):

1. นำทางด้วย initScript — นำทางไปที่ about:blank ก่อนเพื่อให้มั่นใจว่า document context สะอาด (หลีกเลี่ยง initScript เก่าจากการนำทางก่อนหน้า) จากนั้น navigate_page ไปที่ http://$F5XC_DOMAINNAME/#/login ด้วย initScript ของเฟส 2 (โค้ดที่เหมือนกันทุกประการใน เฟส 2 — การรันอัตโนมัติด้วย AI) initScript นี้บันทึก native setInterval, clearInterval, fetch และ console.log — การอ้างอิง native fetch ถูกต้องที่นี่เพราะยังไม่มีการลดผลกระทบที่ใช้งานอยู่
2. ปิด Welcome Banner — press_key ด้วย Escape เพื่อปิด Welcome Banner ในการเยี่ยมชมครั้งต่อๆ ไป banner อาจไม่ปรากฏ (cookies ถูกเก็บไว้) dialog ขอความยินยอม cookie จะถูกปิดโดยอัตโนมัติด้วยปุ่ม Escape
3. รอจนเสร็จ — รอ 10 วินาทีให้ callback การโหลด/error ของสคริปต์ CDN และการ resolve promise ของ fetch เสร็จสิ้นทั้งหมด
4. บันทึกหลักฐาน — list_console_messages เพื่อตรวจสอบ [CSD Demo] Simulation complete และผลลัพธ์การโหลด CDN; list_network_requests กรองตามประเภท script และ fetch เพื่อตรวจสอบ HTTP status codes (200/201 สำหรับความสำเร็จ)

คำเตือน

ความไม่เข้ากันของ zone.js — Juice Shop ใช้ zone.js ของ Angular ซึ่ง patch setTimeout, setInterval, fetch, XMLHttpRequest และ API เบราว์เซอร์อื่นๆ ทำให้เครื่องมือ evaluate_script, fill และ click ของ MCP เกิดข้อผิดพลาด Cannot read properties of undefined (reading 'call') ให้ใช้ navigate_page ด้วย initScript แทน — initScript รันก่อนที่ zone.js จะโหลด จึงสามารถบันทึก reference ของ native API และใช้ใน polling callback ได้ initScript ต้องกรอกข้อมูลในช่องฟอร์มโดยใช้ native HTMLInputElement.prototype.value setter (ไม่ใช่ fill) และรันสคริปต์ตรวจจับ inline (ไม่ใช่ผ่าน setTimeout ซึ่ง zone.js อาจสกัดกั้นหลังจากโหลดหน้า) ดูรายละเอียดที่ การตรวจจับทริกเกอร์ — การรันอัตโนมัติด้วย AI

หมายเหตุ

การสะสม initScript — การเรียก navigate_page แต่ละครั้งที่มีพารามิเตอร์ initScript จะเพิ่มสคริปต์ไปยังรายการถาวรที่รันในทุก document load ที่ตามมา เพื่อหลีกเลี่ยงสคริปต์เก่าที่รบกวน ให้นำทางไปที่ about:blank ระหว่างการรัน หรือใช้ new_page ด้วย isolatedContext สำหรับ browser context ที่สะอาด

การรันแบบ Manual

ผู้ปฏิบัติงานที่ไม่มีเครื่องมือ browser automation รันการจำลองแบบ manual โดยใช้ขั้นตอนเดียวกับ เฟส 2 — ขั้นตอนที่ 8: การจำลองการโจมตี:

1. นำทางไปที่ http://xF5XC_DOMAINNAMEx/#/login
2. กรอก credentials จำลองในช่อง Email และ Password (อย่ากด submit)
3. เปิด DevTools — กด F12 และสลับไปที่แท็บ Console
4. วางและรัน Combined Detection Script จาก การตรวจจับทริกเกอร์
5. สังเกต console output — สคริปต์ CDN ทั้งหมดควรโหลดได้และการเรียก exfil ควรสำเร็จด้วยการตอบสนอง 200/201

หลักฐาน — ก่อนการลดผลกระทบ

การตรวจสอบ	ที่คาดหวัง (ก่อนการลดผลกระทบ)	สถานะ
สคริปต์ CDN ถูก inject	แท็กสคริปต์ทั้ง 4 โหลด — ข้อความ [Supply Chain] Loaded from ปรากฏ, แท็บ network แสดง 200	PASS
Exfil fetch ไปที่ www.httpbin.org	แท็บ network แสดง 200 — ส่งข้อมูลแล้ว	PASS
Exfil fetch ไปที่ jsonplaceholder.typicode.com	แท็บ network แสดง 201 — ส่งข้อมูลแล้ว	PASS
Console output	[CSD Demo] Simulation complete	PASS

หมายเหตุ

การตรวจสอบด้วย network requests: หลักฐานที่น่าเชื่อถือที่สุดคือ แท็บ Network (หรือ list_network_requests สำหรับผู้ช่วย AI) ไม่ใช่ console callbacks zone.js ใน Juice Shop อาจทำลาย callback .then() ของ promise และ handler onload ของสคริปต์ ทำให้ข้อความ console ไม่สมบูรณ์แม้ว่า network requests จะสำเร็จ ควรตรวจสอบ console output ร่วมกับ status codes ของ network request เสมอ

เคล็ดลับ

นี่คือหลักฐานเส้นฐาน: โดยไม่มีการลดผลกระทบที่ใช้งานอยู่ สคริปต์ของผู้โจมตีโหลดได้อย่างอิสระและการขโมยข้อมูลสำเร็จ บันทึกหรือ screenshot หลักฐานนี้ไว้ — คุณจะเปรียบเทียบโดยตรงกับผลลัพธ์ “หลัง” ในขั้นตอนที่ 5

ขั้นตอนที่ 3: ใช้การลดผลกระทบ

สำหรับแต่ละโดเมนที่ตรวจพบ ให้ POST ไปที่ mitigated domains endpoint เป้าหมายหลักจากการจำลองในเฟส 2 คือโดเมน CDN injection 4 โดเมนและโดเมน data exfiltration ที่ตรวจพบ

เป้าหมายการลดผลกระทบหลัก (จากสคริปต์การจำลองรวม):

โดเมน	บทบาท
cdn.jsdelivr.net	CDN script injection
esm.sh	CDN script injection
unpkg.com	CDN script injection
ga.jspm.io	CDN script injection
www.httpbin.org	เอนด์พอยต์การขโมยข้อมูล
jsonplaceholder.typicode.com	เอนด์พอยต์การขโมยข้อมูล

หมายเหตุ

POST body ต้องมีทั้ง metadata.name (ตัวระบุสำหรับ object) และ spec.mitigated_domain (สตริงโดเมนที่ CSD จะจัดประเภท) ต้องตั้งค่าทั้งสองฟิลด์ — spec: {} ทำให้เกิดข้อผิดพลาด 400 สำหรับโดเมนส่วนใหญ่ ทั้งสองฟิลด์ใช้ค่าเดียวกัน (เช่น cdn.jsdelivr.net) ดูข้อยกเว้น httpbin.org ด้านล่าง

ลดผลกระทบโดเมน (รันครั้งเดียวต่อโดเมน):

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{
    "metadata": {
      "name": "cdn.jsdelivr.net",
      "namespace": "xF5XC_NAMESPACEx"
    },
    "spec": {
      "mitigated_domain": "cdn.jsdelivr.net"
    }
  }' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

ทำซ้ำสำหรับแต่ละโดเมน:

esm.sh

curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"esm.sh","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"esm.sh"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# unpkg.com
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"unpkg.com","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"unpkg.com"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# ga.jspm.io
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"ga.jspm.io","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"ga.jspm.io"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# httpbin.org — ใช้ www.httpbin.org เป็น mitigated_domain (ดูหมายเหตุด้านล่าง)
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"httpbin.org","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"www.httpbin.org"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

# jsonplaceholder.typicode.com
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d '{"metadata":{"name":"jsonplaceholder.typicode.com","namespace":"xF5XC_NAMESPACEx"},"spec":{"mitigated_domain":"jsonplaceholder.typicode.com"}}' \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq .

หมายเหตุ

ข้อจำกัด eTLD+1 ของ httpbin.org: API ปฏิเสธโดเมน eTLD+1 เปล่าเป็นค่า mitigated_domain ด้วย "Invalid root domain: cannot derive eTLD+1" ให้ใช้ www.httpbin.org เป็นค่า spec.mitigated_domain ในขณะที่ยังคง httpbin.org เป็น metadata.name การลดผลกระทบถูกใช้อย่างถูกต้อง — ตัวระบุ name คือสิ่งที่ปรากฏในรายการ mitigated domains โดเมนเปล่า (ไม่มี subdomain) ที่ใช้เป็นเป้าหมาย exfil ในสคริปต์การจำลองแบบกำหนดเองจะมีข้อจำกัดเดียวกัน

การตอบสนอง 200 จะคืน object ของ mitigated domain ที่สร้างขึ้น การตอบสนอง 409 หมายความว่าโดเมนอยู่ในรายการ mitigated แล้ว — นี่คือเงื่อนไขความสำเร็จ

ขั้นตอนที่ 4: ตรวจสอบว่าการลดผลกระทบถูกใช้แล้ว

แสดงรายการ mitigated domains ทั้งหมดและยืนยันว่าจำนวนตรงกับจำนวนโดเมนที่เพิ่งส่ง:

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/mitigated_domains" \
  | jq '{count: (.items | length)}'

หมายเหตุ

เอนด์พอยต์รายการ mitigated domains คืนรายการที่มี metadata.name เป็น null สำหรับทุกรายการ — ชื่อโดเมนแต่ละรายการไม่ปรากฏใน list response ให้ตรวจสอบโดยตรวจดูว่าจำนวนรายการเท่ากับจำนวน POST request ที่ทำ (6 สำหรับการจำลองมาตรฐาน) การตอบสนอง 200 จากแต่ละ POST ในขั้นตอนที่ 3 คือหลักฐานที่เชื่อถือได้ว่าแต่ละการลดผลกระทบถูกสร้างขึ้น หากจำนวนเป็น 1 พร้อมรายการที่ name เป็น null และไม่มีการลดผลกระทบถูกใช้ ให้ถือว่าจำนวนเป็น 0 — นี่คือ artifact ของ backend (ดู Pre-flight Check สำหรับกฎการตัดสินใจ)

หลักฐาน

การตรวจสอบ	ที่คาดหวัง	สถานะ
จำนวน mitigated domains	6 (ตรงกับจำนวน POST)	PASS ถ้าจำนวนตรงกัน
POST ทั้งหมดในขั้นตอนที่ 3 คืน 200 หรือ 409	แต่ละโดเมนได้รับการยอมรับ	PASS

หากจำนวนน้อยกว่าที่คาดไว้ ให้รันคำสั่ง POST สำหรับโดเมนที่หายไปจากขั้นตอนที่ 3 อีกครั้ง

ขั้นตอนที่ 5: รันการโจมตี — หลังการลดผลกระทบ

รันการจำลองรวมเดิมทุกประการอีกครั้งเพื่อบันทึกภาพ “หลัง” สคริปต์การจำลองเหมือนกันทุกประการ — มีเพียงสถานะการลดผลกระทบของ CSD เท่านั้นที่เปลี่ยนแปลง การโหลดสคริปต์จากโดเมนที่ถูกลดผลกระทบจะถูกบล็อกโดย JavaScript ของ CSD (แอตทริบิวต์ src ของแท็ก <script> จะถูกล้างเป็นสตริงว่าง)

หมายเหตุ

ขั้นตอนนี้ใช้ลำดับ browser automation เดียวกับขั้นตอนที่ 2 ความแตกต่างไม่ได้อยู่ที่สิ่งที่คุณรัน — แต่อยู่ที่สิ่งที่คุณสังเกต เมื่อการลดผลกระทบทำงาน CSD จะบล็อกการโหลดแท็ก <script> จากโดเมนที่ถูกลดผลกระทบ การเรียก Fetch API ไปยังโดเมน exfil ที่ถูกลดผลกระทบยังคงเสร็จสิ้น — การลดผลกระทบ CSD มุ่งเป้าที่การโหลดสคริปต์ ไม่ใช่ fetch/XHR

การรันอัตโนมัติด้วย AI

ผู้ช่วย AI ที่มีเครื่องมือ browser automation รันการจำลองการโจมตีอีกครั้งด้วยโปรแกรมโดยใช้ initScript ของเฟส 2 เดิมทุกประการ (โค้ดที่เหมือนกันทุกประการใน เฟส 2 — การรันอัตโนมัติด้วย AI) initScript บันทึก native fetch เพื่อหลีกเลี่ยงข้อผิดพลาด zone.js — ไม่ส่งผลต่อการลดผลกระทบ CSD เพราะ CSD ไม่สกัดกั้นการเรียก fetch()

1. นำทางด้วย initScript — ใช้ new_page ด้วย isolatedContext สำหรับ browser context ที่สะอาด (หลีกเลี่ยง initScript เก่าจากขั้นตอนที่ 2) จากนั้นนำทางไปที่ about:blank แล้วไปที่หน้า login ด้วย initScript ของเฟส 2
2. ปิด Welcome Banner — press_key ด้วย Escape
3. รอจนเสร็จ — รอ 10 วินาทีสำหรับ async callback ทั้งหมด
4. บันทึกหลักฐาน — list_console_messages เพื่อตรวจสอบ [CSD Demo] Simulation complete; list_network_requests กรองตามประเภท script และ fetch เพื่อสังเกตว่าการโหลดสคริปต์ CDN ไม่ปรากฏ (CSD ล้าง script src แล้ว) ในขณะที่การเรียก fetch ไปยังโดเมน exfil ยังคงเสร็จสิ้นตามปกติ

การรันแบบ Manual

ผู้ปฏิบัติงานที่ไม่มีเครื่องมือ browser automation รันการจำลองแบบ manual อีกครั้งโดยใช้ขั้นตอนเดียวกับ เฟส 2 — ขั้นตอนที่ 8: การจำลองการโจมตี:

1. นำทางไปที่ http://xF5XC_DOMAINNAMEx/#/login
2. กรอก credentials จำลองในช่อง Email และ Password (อย่ากด submit)
3. เปิด DevTools — กด F12 และสลับไปที่แท็บ Console
4. วางและรัน Combined Detection Script จาก การตรวจจับทริกเกอร์
5. สังเกต console และ network output — callback onload และ onerror ของสคริปต์ CDN ไม่ทำงานสำหรับโดเมนที่ถูกลดผลกระทบ (CSD ล้าง src ของสคริปต์เป็นสตริงว่าง ป้องกัน network request ได้อย่างสมบูรณ์) การเรียก fetch ไปยังโดเมน exfil (www.httpbin.org, jsonplaceholder.typicode.com) ยังคงเสร็จสิ้นด้วย 200/201 — การลดผลกระทบ CSD บล็อกการโหลดสคริปต์ ไม่ใช่การเรียก fetch/XHR

เวลาการกระจายการลดผลกระทบ

JavaScript ของ CSD คาดว่าจะบล็อกการโหลดสคริปต์จากโดเมนที่ถูกลดผลกระทบโดยสกัดกั้น setter src ของแท็ก <script> อย่างไรก็ตาม ในการทดสอบผ่าน HTTP (port 80) ไม่มีการสังเกตเห็นการล้าง src ของสคริปต์ภายใน 5 นาทีหลังจากใช้การลดผลกระทบ — สคริปต์ CDN ทั้งหมดยังคงโหลดได้ตามปกติ ซึ่งอาจบ่งชี้ว่าการกระจายการลดผลกระทบต้องการเวลามากกว่า 5 นาที หรือกลไกนี้ทำงานต่างกันผ่าน HTTP เทียบกับ HTTPS หากไม่พบการบล็อกจากการลดผลกระทบ ให้รอเวลาการกระจายเพิ่มเติมและตรวจสอบว่าสคริปต์ telemetry ของ CSD ได้รีเฟรชการกำหนดค่าแล้ว

การเรียก Fetch ไม่ถูกสกัดกั้นโดยการลดผลกระทบ CSD (ได้รับการยืนยัน) การเรียก fetch exfil ไปยังโดเมนที่ถูกลดผลกระทบ (www.httpbin.org, jsonplaceholder.typicode.com) ยังคงเสร็จสิ้นตามปกติด้วยการตอบสนอง 200/201 ทั้งก่อนและหลังการลดผลกระทบ การลดผลกระทบ CSD มุ่งเป้าที่ vector ซัพพลายเชน (การโหลดสคริปต์ที่เป็นอันตราย) ไม่ใช่การขโมยข้อมูลผ่าน fetch/XHR ให้ใช้ initScript ของเฟส 2 เดิม (ที่บันทึก native fetch) สำหรับทั้งขั้นตอนที่ 2 และขั้นตอนที่ 5

หลักฐาน — หลังการลดผลกระทบ

การตรวจสอบ	ที่คาดหวัง (หลังการลดผลกระทบ)	สถานะ
การโหลดสคริปต์ CDN	ถูกบล็อก — สคริปต์ไม่ปรากฏในแท็บ network (CSD ล้าง src เป็นสตริงว่าง)	PASS
Callback สคริปต์ CDN	ทั้ง onload และ onerror ไม่ทำงานสำหรับโดเมนที่ถูกลดผลกระทบ	PASS
Exfil fetch ไปที่ www.httpbin.org	200 — fetch ยังคงเสร็จสิ้น (CSD ไม่สกัดกั้น fetch)	INFO
Exfil fetch ไปที่ jsonplaceholder.typicode.com	201 — fetch ยังคงเสร็จสิ้น (CSD ไม่สกัดกั้น fetch)	INFO
Console output	[CSD Demo] Simulation complete	PASS

เคล็ดลับ

การตรวจสอบ backend คือหลักฐานที่น่าเชื่อถือที่สุด หากไม่พบการบล็อกสคริปต์ที่มองเห็นได้จากเบราว์เซอร์ภายในกรอบเวลาการสาธิต ให้ใช้การตอบสนอง API /detected_domains เป็นหลักฐานหลัก จำนวน mitigatedDomains และ actionNeededCount ที่ลดลงในสรุปโดเมนยืนยันว่าการลดผลกระทบทำงานอยู่ใน backend — แม้ว่า JavaScript ของ CSD ในเบราว์เซอร์ยังไม่ได้รีเฟรชการกำหนดค่าเพื่อบังคับใช้การบล็อก

ขั้นตอนที่ 6: การเปรียบเทียบก่อนและหลัง

นี่คือผลตอบแทนของการสาธิต — หลักฐานเคียงข้างกันที่พิสูจน์ว่าการโจมตีเดิม บนหน้าเดิม ด้วยสคริปต์เดิม ตอนนี้ให้ผลลัพธ์ที่แตกต่างกันอย่างสิ้นเชิง

ตารางการเปรียบเทียบ

สัญญาณ	ก่อนการลดผลกระทบ (ขั้นตอนที่ 2)	หลังการลดผลกระทบ (ขั้นตอนที่ 5)
การโหลดสคริปต์ CDN	200 — สคริปต์ CDN ทั้ง 4 โหลดได้ตามปกติ	ถูกบล็อก — สคริปต์ไม่ปรากฏในแท็บ network (CSD ล้าง src เป็นสตริงว่าง)
Callback onload ของ CDN	ข้อความ [Supply Chain] Loaded from ปรากฏ	ไม่มี callback ทำงาน (ไม่มี network request เกิดขึ้น)
Exfil ไปที่ www.httpbin.org	200 — ข้อมูลถูกขโมย	200 — fetch ยังคงเสร็จสิ้น (CSD ไม่สกัดกั้น fetch)
Exfil ไปที่ jsonplaceholder.typicode.com	201 — ข้อมูลถูกขโมย	201 — fetch ยังคงเสร็จสิ้น (CSD ไม่สกัดกั้น fetch)
CSD mitigated domains API	0 ถูกลดผลกระทบ	6 ถูกลดผลกระทบ

ตรวจสอบการลดผลกระทบในข้อมูล Backend

Query /detected_domains ทุก 60 วินาที สูงสุด 10 ครั้ง (10 นาที) ดำเนินการไปยังตารางการเปรียบเทียบเมื่อ query คืนค่า หรือหลังจากสูงสุด 10 นาที — การตรวจสอบเหล่านี้เป็นข้อมูลอ้างอิงและไม่ได้บล็อกเฟส 4

ตรวจสอบ Detected Domains หลังการลดผลกระทบ:

curl -s \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/detected_domains" \
  | jq '{total_domains: .domain_summary.totalDomains, domains: [.domains_list[]? | {domain: .domain, category: .category}]}'

ตรวจสอบสคริปต์สำหรับสถานะ Mitigated:

NOW=$(date +%s)
START=$(( NOW - 86400 ))
curl -s -X POST \
  -H "Authorization: APIToken xF5XC_API_TOKENx" \
  -H "Content-Type: application/json" \
  -d "{\"startTime\": \"$START\", \"endTime\": \"$NOW\"}" \
  "xF5XC_API_URLx/api/shape/csd/namespaces/xF5XC_NAMESPACEx/scripts" \
  | jq '{total: (.scripts | length), scripts: [.scripts[]? | {script_name: .script_name, risk_level: .risk_level}]}'

สรุปหลักฐานเฟส 3

การตรวจสอบ	ที่คาดหวัง	สถานะ
เส้นฐานสะอาด (ขั้นตอนที่ 1)	0 mitigated domains ที่เริ่มต้น	PASS / FAIL
ก่อน — การโจมตีสำเร็จ (ขั้นตอนที่ 2)	สคริปต์โหลด, exfil คืน 200/201	PASS / FAIL
การลดผลกระทบถูกใช้ (ขั้นตอนที่ 3)	โดเมนทั้ง 6 ได้รับการยอมรับผ่าน POST (200 หรือ 409)	PASS / FAIL
ยืนยันจำนวน mitigated (ขั้นตอนที่ 4)	6 รายการในรายการ	PASS / FAIL
หลัง — การโหลดสคริปต์ถูกบล็อก (ขั้นตอนที่ 5)	สคริปต์ CDN ไม่ปรากฏในแท็บ network, การเรียก fetch ยังคงเสร็จสิ้น	PASS / FAIL
การเปรียบเทียบก่อนและหลัง (ขั้นตอนที่ 6)	ความแตกต่างชัดเจนระหว่างหลักฐานขั้นตอนที่ 2 และขั้นตอนที่ 5	PASS / FAIL

หมายเหตุ

การอัปเดตสถานะการตรวจจับหลังการลดผลกระทบอาจใช้เวลาสักครู่จึงจะปรากฏในการตอบสนอง API หากโดเมนยังแสดง “Action Needed” ทันทีหลังการลดผลกระทบ ให้ query /detected_domains ทุก 60 วินาที สูงสุด 10 ครั้ง (10 นาที) หากยังไม่อัปเดตหลังจาก 10 ครั้ง ให้บันทึกสถานะปัจจุบันเป็น INFO — ไม่ได้บล็อกเฟส 4

---

เฟส 3 เสร็จสมบูรณ์ ดำเนินการไปยัง เฟส 4 — การรื้อถอน เมื่อคุณพร้อมที่จะลบ object การ deploy ทั้งหมด