مجموعات حركة المرور
كل مجموعة حركة مرور هي دليل ضمن /opt/traffic-generator/suites/ يحتوي على برامج نصية shell مرقمة تُنفَّذ بالترتيب بواسطة runner.sh. يقبل كل برنامج نصي الـ FQDN المستهدف كوسيطه الأولى ويكتب المخرجات إلى كل من stdout ودليل النتائج.
api-attacks
Section titled “api-attacks”البرامج النصية: 4 | المدة التقديرية: 10-17 دقيقة
اختبار OWASP API Security Top 10 ضد VAmPI عبر F5 XC. يسجل مستخدم اختبار، ويحصل على رمز مصادقة، ثم يختبر BOLA ومصادقة القوة الغاشمة والكشف المفرط عن البيانات والتفويض المكسور على مستوى الوظيفة وأنماط SSRF وحقن SQL ضد نقاط نهاية REST API واكتشاف المعاملات المخفية وفحص نقاط النهاية. يستهدف تطبيق VAmPI.
ميزة F5 XC: أمان API / اكتشاف API
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | مجموعة اختبار شاملة لـ OWASP API Top 10. تسجيل مستخدم اختبار، والحصول على رمز مصادقة، ثم اختبار BOLA (الوصول إلى بيانات مستخدمين آخرين)، ومصادقة القوة الغاشمة، والكشف المفرط عن البيانات، والتفويض المكسور على مستوى الوظيفة، وأنماط SSRF، واستطلاع الإعدادات الأمنية الخاطئة. |
| 02 | 02-sqlmap-api.sh | sqlmap | حقن SQL ضد نقاط نهاية VAmPI REST API: بحث المستخدم، وتسجيل الدخول (POST)، والتسجيل (POST) مع حمولات JSON. |
| 03 | 03-arjun-param-discovery.sh | arjun | اكتشاف المعاملات المخفية عبر نقاط نهاية Juice Shop وDVWA وVAmPI. يكتشف معاملات استعلام غير موثقة قد تقبل حمولات الحقن. |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | فحص على مرحلتين: اكتشاف نقاط النهاية باستخدام قائمة كلمات لمسارات API الشائعة (api, swagger, graphql, admin, .env, .git) عبر جميع بادئات التطبيقات، ثم فحص أسلوب HTTP (GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND) ضد نقاط النهاية الرئيسية. |
السلوك المتوقع لـ F5 XC: يجب أن يرسم اكتشاف API خريطة لنقاط نهاية VAmAPI ويحدد أنماط الطلبات غير المعتادة. يجب أن تُعلم سياسات أمان API محاولات الوصول غير المصرح به وحمولات الحقن في أجسام JSON وأنماط التعداد. ستُظهر قائمة جرد API في F5 XC نقاط النهاية المكتشفة مع أعداد الطلبات.
bot-simulation
Section titled “bot-simulation”البرامج النصية: 4 | المدة التقديرية: 5-10 دقائق
نشاط متصفح آلي وأنماط زحف مشابهة للروبوتات عبر F5 XC. يشمل Chrome بلا واجهة رسومية وPuppeteer مع إضافة التخفي والزحف السريع والتفاعل الآلي مع النماذج. يستهدف جميع التطبيقات.
ميزة F5 XC: دفاع Bot
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | تصفح Chromium بلا واجهة رسومية: يحمّل الهدف، وينتقل بين مسارات التطبيق، ويستخرج عناوين الصفحات والمحتوى، ويلتقط لقطات شاشة. يُولّد حركة مرور مستندة إلى المتصفح بدون إضافات التخفي (قابل للكشف كأتمتة). |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | تصفح خفي باستخدام puppeteer-extra مع إضافة التخفي. يحاول التهرب من اكتشاف الروبوتات عن طريق تعديل خصائص navigator وWebGL وبصمات المتصفح الأخرى. |
| 03 | 03-rapid-crawl.sh | curl, wget | طلبات HTTP عالية التردد باستخدام curl وwget بتتالٍ سريع. يحاكي سلوك الكاشطات بدون تأخير بين الطلبات وتدوير عدواني لـ User-Agent. |
| 04 | 04-form-interaction.sh | playwright | ملء النماذج وإرسالها آلياً ضد تسجيل دخول DVWA وتسجيل Juice Shop ونقاط نهاية VAmPI API باستخدام واجهات برمجة التفاعل مع النماذج في Playwright. |
السلوك المتوقع لـ F5 XC: يجب أن يصنف دفاع Bot حركة المرور على أنها آلية استناداً إلى تحليل بصمة المتصفح وتوقيت الطلبات ونتائج تحدي JavaScript. يجب اكتشاف Chrome بلا واجهة رسومية بدون تخفٍّ فوراً. تختبر اختبارات Puppeteer الخفية ما إذا كانت تقنيات التهرب المتقدمة تتجاوز الاكتشاف. ستُظهر لوحة تحكم دفاع Bot فئات تصنيف الروبوتات وإجراءات التخفيف.
cdn-load-testing
Section titled “cdn-load-testing”البرامج النصية: 18 | المدة التقديرية: 20-30 دقيقة
اختبار سلوك ذاكرة التخزين المؤقت لـ CDN وحماية الخادم الأصلي. يشمل قياس الإنتاجية الأساسية وعزل سلسلة الاستعلام وتنويع accept-encoding ومحاكاة ظاهرة القطيع الرعدي وتجاوز POST/PUT وتصادم مفتاح الذاكرة المؤقتة وGET الشرطي وطلب النطاق ومحاكاة الحذف واستنزاف تجمع الاتصالات وتحسين keepalive وتكلفة مصافحة TLS وتخزين الكائنات الكبيرة مؤقتاً وتجاوز الفشل متعدد المصادر وتحديد معدل الطلبات واختبار نسبة gzip ومعالجة HTTP/2 والمعيار القياسي المجمع kraken. يستهدف تطبيق محاكي CDN.
ميزة F5 XC: تكامل CDN
crapi-exploits
Section titled “crapi-exploits”البرامج النصية: 16 | المدة التقديرية: 15-25 دقيقة
استغلال تحديات OWASP crAPI (واجهة برمجة تطبيقات سخيفة تماماً). يشمل التسجيل/المصادقة وBOLA لموقع المركبة وBOLA لتقارير الميكانيكي وقوة OTP الغاشمة وكشف بيانات الميكانيكيا والكشف المفرط عن البيانات والتعيين الجماعي للطلبات وتحقق SSRF من القسيمة وحقن NoSQL ومعالجة JWT وIDOR للوحة التحكم وتجاوز 2FA والوصول إلى API الداخلية وتلوث المعاملات من جهة الخادم وحذف المستخدم وIDOR رفع الفيديو. يستهدف تطبيق crAPI.
ميزة F5 XC: أمان API
csd-demo-attacks
Section titled “csd-demo-attacks”البرامج النصية: 5 (JavaScript) | المدة التقديرية: 3-5 دقائق
هجمات حقن JavaScript من جهة العميل. تشمل حقن كاشط البطاقات ومسروق النماذج وراصد لوحة المفاتيح ومُعدِّن العملات المشفرة وبرامج نصية لاختطاف DOM. تختبر هجمات سلسلة توريد جهة العميل على غرار Magecart التي يكتشفها الدفاع من جهة العميل F5 XC ويحظرها. يستهدف تطبيق CSD Demo.
ميزة F5 XC: الدفاع من جهة العميل
demoapp-attacks
Section titled “demoapp-attacks”البرامج النصية: 2 | المدة التقديرية: 2-3 دقائق
حمولات هجوم مستهدفة ضد نقاط نهاية اختبار WAF المدمجة في F5 DemoApp (/WAF/SQL، /WAF/XSS، /WAF/DIR). ترسل حمولات حقن SQL وXSS واجتياز المسار مباشرةً إلى نقاط النهاية المصممة للتوضيح التشغيلي لسلوك حظر WAF. استخدم هذه المجموعة عند استهداف خادم محتوى DemoApp بدلاً من تطبيقات خادم المصدر القياسية.
ميزة F5 XC: WAF (جدار حماية تطبيقات الويب)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | 15 حمولة حقن SQL ضد /WAF/SQL?age= تشمل UNION SELECT وDROP TABLE وWAITFOR DELAY وxp_cmdshell والتجاوز القائم على التعليقات وحمولات المنطق البولياني. |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | 18 حمولة XSS ضد /WAF/XSS?update= تشمل وسوم script ومعالجات الأحداث (onerror, onload, ontoggle, onfocus) وbase64 eval وتعبير style وحمولات بوليغلوت وسرقة ملفات تعريف الارتباط. |
السلوك المتوقع لـ F5 XC: يجب أن يحظر WAF الطلبات التي تحتوي على حمولات حقن SQL وXSS ويعيد صفحة حظر. ستُظهر لوحة تحكم أحداث الأمان فئات الانتهاكات وتطابقات التوقيع لكل طلب محظور.
dvga-exploits
Section titled “dvga-exploits”البرامج النصية: 9 | المدة التقديرية: 8-12 دقيقة
استغلال ثغرات GraphQL المحددة ضد تطبيق Damn Vulnerable GraphQL. يشمل DoS للاستعلامات الدُفعية والتكرار العميق وتكرار الحقول وحقن SQL عبر filter وXSS عبر createPaste وDoS قائم على الأسماء المستعارة وإساءة استخدام الاستبطان وتجاوز التفويض والكشف عن المعلومات. يستهدف تطبيق DVGA.
ميزة F5 XC: أمان API (GraphQL)
dvwa-exploits
Section titled “dvwa-exploits”البرامج النصية: 14 | المدة التقديرية: 15-25 دقيقة
اختبار OWASP Top 10 ضد تطبيق Damn Vulnerable Web Application. يشمل القوة الغاشمة وحقن الأوامر وتغيير كلمة مرور CSRF وتضمين الملفات ورفع الملفات وحقن SQL (الأعمى) وحقن SQL (union) وXSS (DOM) وXSS (منعكس) وXSS (مخزن) وتجاوز CAPTCHA ومعرفات الجلسة الضعيفة وCORS غير الآمن وإعادة التوجيه المفتوحة. يستهدف تطبيق DVWA.
ميزة F5 XC: WAF
javascript-exploits
Section titled “javascript-exploits”البرامج النصية: 3 | المدة التقديرية: 3-5 دقائق
أنماط حقن البرامج النصية من جهة العميل والتلاعب بـ DOM التي تُشغّل اكتشاف الدفاع من جهة العميل. تشمل حقن البرامج النصية المضمنة التي تحاكي كاشطات على غرار Magecart والتلاعب بـ DOM عبر Chromium بلا واجهة رسومية ومحاكاة البرامج النصية الخارجية. يستهدف تطبيق CSD Demo.
ميزة F5 XC: الدفاع من جهة العميل (CSD)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | يرسل طلبات تحتوي على حمولات JavaScript مضمنة مصممة لمحاكاة كاشطات بطاقات الائتمان على غرار Magecart وبرامج نصية لسرقة البيانات. |
| 02 | 02-dom-manipulation.sh | playwright | يستخدم Chromium بلا واجهة رسومية لتحميل صفحة CSD Demo وحقن تعديلات DOM: إضافة وسوم script وتعديل إجراءات النماذج وإدراج إطارات iframe غير مرئية تسرب بيانات النماذج. |
| 03 | 03-third-party-script-sim.sh | curl, playwright | يحاكي برامج نصية خارجية مخترقة عن طريق حقن طلبات تشير إلى مصادر JavaScript خارجية ومحاولة تحميل برامج نصية غير مصرح بها في سياق الصفحة. |
السلوك المتوقع لـ F5 XC: يجب أن يكتشف الدفاع من جهة العميل تعديلات البرامج النصية غير المصرح بها على الصفحة المحمية. ستُظهر لوحة تحكم CSD تنبيهات لمصادر البرامج النصية الجديدة وعناصر DOM المعدَّلة ومحاولات سرقة البيانات. يتحقق هذا من وظائف CSD المرحلة الثانية.
juice-shop-exploits
Section titled “juice-shop-exploits”البرامج النصية: 12 | المدة التقديرية: 10-18 دقيقة
استغلال تحديات OWASP Juice Shop. يشمل تجاوز تسجيل الدخول بحقن SQL وunion للبحث بحقن SQL وXSS DOM المنعكس وXSS المخزن في API وIDOR للوصول إلى السلة وقسم المسؤول وردود الفعل المزورة والوصول إلى الملفات ببايت null وXSS المنعكس في البحث وحقن رأس HTTP والتسجيل المتكرر وقوة تسجيل الدخول الغاشمة. يستهدف تطبيق Juice Shop.
ميزة F5 XC: WAF، دفاع Bot
mitre-attack
Section titled “mitre-attack”البرامج النصية: 8 | المدة التقديرية: 10-15 دقيقة
محاكاة تكتيكات إطار MITRE ATT&CK. يشمل الاستطلاع (المسح الخارجي) والوصول الأولي (حشو بيانات الاعتماد) والتنفيذ (حقن الأوامر) والوصول إلى بيانات الاعتماد (كلمات المرور الافتراضية) والاكتشاف (تعداد الدليل) ومحاكاة الحركة الجانبية والتجميع (كشط البيانات) ومحاكاة التسريب. يربط كل برنامج نصي بتكتيك محدد من MITRE ATT&CK لإعداد تقارير تغطية التهديدات المنظمة. يستهدف جميع التطبيقات.
ميزة F5 XC: WAF، دفاع Bot، أمان API
owasp-scanning
Section titled “owasp-scanning”البرامج النصية: 10 | المدة التقديرية: 20-35 دقيقة
مجموعة فحص OWASP شاملة باستخدام ماسحات ثغرات مخصصة. تشمل فحص ZAP الأساسي والفحص النشط لـ ZAP والفحص الكامل لـ Nikto والفحص الكامل لـ Nuclei وفحص ثغرات Nmap وتدقيق SSL/TLS وفحص الأدلة وتعداد النطاقات الفرعية وبصمة التقنية وإنشاء تقرير OWASP مجمع. يستهدف جميع التطبيقات.
ميزة F5 XC: WAF، فحص تطبيقات الويب
performance-testing
Section titled “performance-testing”البرامج النصية: 12 | المدة التقديرية: 15-30 دقيقة
اختبار خصائص الأداء تحت أنماط حمل متنوعة. يشمل تصاعد التزامن وإنتاجية كل تطبيق والحمل المستمر وتقلب الاتصال والهجوم المختلط + الحمل واختبار الذرى واختبار التحمل واكتشاف نقطة الانهيار وصدور وقت الاستجابة وخطأ معدل الطلبات تحت الحمل واستنزاف الموارد وتحليل توزيع زمن الاستجابة. يستهدف جميع التطبيقات.
ميزة F5 XC: حماية DDoS، تحديد معدل الطلبات
reconnaissance
Section titled “reconnaissance”البرامج النصية: 6 | المدة التقديرية: 8-15 دقيقة
المسح الشبكي وتعداد الخدمات وقوة اجتياز الأدلة الغاشمة ضد البنية التحتية المستهدفة. يشمل اكتشاف خدمة nmap ومسح منافذ masscan وقوة اجتياز الأدلة الغاشمة وتعداد النطاقات الفرعية وبصمة تقنية الويب واستطلاع DNS. يستهدف جميع التطبيقات.
ميزة F5 XC: WAF / دفاع Bot
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | اكتشاف إصدار الخدمة والفحص الافتراضي للنصوص البرمجية ضد منافذ HTTP/HTTPS للهدف. |
| 02 | 02-masscan-sweep.sh | masscan | مسح سريع للمنافذ الشائعة للويب (80، 443، 8080، 8443) مع تحديد معدل الطلبات. |
| 03 | 03-gobuster-dirs.sh | gobuster | قوة اجتياز الأدلة الغاشمة باستخدام قائمة كلمات SecLists الشائعة ضد جميع بادئات التطبيقات. |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | تعداد سلبي للنطاقات الفرعية للنطاق المستهدف، ثم فحص HTTP للمضيفين المكتشفين. |
| 05 | 05-whatweb-fingerprint.sh | whatweb | بصمة تقنية الويب للهدف وجميع مسارات التطبيق. |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | تعداد سجلات DNS ومحاولات نقل المنطقة والبحث العكسي للنطاق المستهدف. |
السلوك المتوقع لـ F5 XC: يجب أن يكتشف WAF نشاط المسح ويسجله. قد يصنف دفاع Bot الطلبات المتسلسلة السريعة على أنها آلية. ستُظهر لوحة تحكم أحداث الأمان توقيعات الاستطلاع وسلاسل User-Agent لأدوات المسح.
restaurant-exploits
Section titled “restaurant-exploits”البرامج النصية: 11 | المدة التقديرية: 10-18 دقيقة
اختبار OWASP API Security Top 10 لعام 2023 ضد تطبيق Restaurant API. يشمل التسجيل/المصادقة وBOLA للملف الشخصي وBOLA للطلبات وBOPLA للتعيين الجماعي وBFLA لتصعيد الامتيازات وتجاوز تحديد معدل الطلبات وحقن SQL في القائمة وحقن الأوامر في إحصاءات القرص وSSRF لرابط الصورة وSECRET الضعيف لـ JWT والكشف عن البيانات الحساسة. يستهدف تطبيق Restaurant API.
ميزة F5 XC: أمان API
ssl-scanning
Section titled “ssl-scanning”البرامج النصية: 3 | المدة التقديرية: 3-5 دقائق
تحليل تكوين TLS/SSL لنقطة نهاية HTTPS لموازن حمل F5 XC. يعدد مجموعات الأصفار وإصدارات البروتوكول وتفاصيل الشهادة ويتحقق من ثغرات TLS المعروفة. يستهدف نقطة نهاية موازن حمل F5 XC.
ميزة F5 XC: WAF (معلوماتي)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | يعدد مجموعات الأصفار المدعومة وإصدارات البروتوكول وتفاصيل الشهادة. |
| 02 | 02-sslyze.sh | sslyze | تحليل TLS شامل يشمل التحقق من صحة الشهادة وترتيب مجموعة الأصفار وفحوصات الثغرات (Heartbleed، ROBOT، وما إلى ذلك). |
| 03 | 03-testssl.sh | testssl.sh | تقييم TLS كامل باستخدام إطار testssl.sh. يختبر دعم البروتوكول وتفضيلات الأصفار وتحليل الترويسات والثغرات المعروفة. |
السلوك المتوقع لـ F5 XC: يُنشئ فحص SSL العديد من مصافحات TLS مع اقتراحات مجموعة أصفار غير معتادة. بينما لا يحظر F5 XC هذه عادةً، يظهر نمط حركة المرور في سجلات الوصول. القيمة الأساسية هي التحقق من أن تكوين TLS لـ F5 XC يلبي أفضل ممارسات الأمان.
traffic-generation
Section titled “traffic-generation”البرامج النصية: 4 | المدة التقديرية: 5-10 دقائق (قابل للتكوين)
حركة مرور HTTP مشروعة عالية الحجم لقياس الأساس واختبار الحمل. تُنشئ أنماط حركة مرور طبيعية في تحليلات F5 XC للمقارنة مع حركة مرور مجموعة الهجوم. يستهدف جميع التطبيقات.
ميزة F5 XC: الكل (مقارنة أساسية)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | طلبات HTTP GET المتسلسلة إلى جميع مسارات التطبيق مع User-Agent قياسي للمتصفح. يُنشئ أساساً لحركة المرور الطبيعية في تحليلات F5 XC. |
| 02 | 02-concurrent-load.sh | curl | طلبات HTTP متوازية باستخدام curl مع اتصالات متزامنة متعددة. يختبر معالجة الحمل ويُنشئ أسساً للإنتاجية. |
| 03 | 03-mixed-methods.sh | curl | أساليب HTTP مختلطة (GET, POST, PUT, DELETE) ضد نقاط نهاية API مع حمولات صالحة. يُنشئ أنماط حركة مرور API طبيعية للمقارنة مع حركة مرور الهجوم. |
| 04 | 04-user-journey.sh | playwright | يحاكي رحلة مستخدم واقعية: تصفح الصفحات والبحث عن المنتجات وملء النماذج والتنقل بين التطبيقات باستخدام Playwright مع إعدادات المتصفح القياسية. |
السلوك المتوقع لـ F5 XC: يجب أن تمر جميع الطلبات في هذه المجموعة دون تدخل WAF أو دفاع Bot. استخدم هذه المجموعة لإنشاء حركة مرور “نظيفة” في لوحة تحكم التحليلات، ثم قارنها مع حركة مرور مجموعة الهجوم لإثبات الفرق بين أنماط الطلبات المشروعة والخبيثة.
waf-encoding-evasion
Section titled “waf-encoding-evasion”البرامج النصية: 7 | المدة التقديرية: 5-10 دقائق
هجمات تهرب متعددة الطبقات مصممة لاختبار ما إذا كان WAF يُطبّع الحمولات ويفككها بشكل صحيح قبل الفحص. تغطي ترميز URL الأحادي والمزدوج والثلاثي؛ وترميز كيان HTML (عشري وسداسي وبالاسم ومُصفَّر)؛ وإدراج Unicode/UTF-8 (مسافة عرض صفري وBOM وأحرف عرض كامل وواصلة ناعمة وتسلسلات زائدة عن الحد)؛ والترميز المتعدد الطبقات المختلط/المتداخل (كيانات HTML المشفرة بـ URL وURL مزدوج داخل كيانات وحزم ثلاثية الطبقات)؛ وحقن البايت الصفري؛ وترميز IIS %uXXXX؛ ومعالجة الحالة؛ وتقسيم جسم ترميز النقل المجزأ؛ وتهرب معامل Base64؛ وحمولات الترويسة/ملف تعريف الارتباط المشفرة. يستهدف أي تطبيق.
ميزة F5 XC: WAF (عمق تطبيع الترميز)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | ترميز URL أحادي ومزدوج وثلاثي لحمولات SQLi وXSS واجتياز المسار عبر مسارات نقاط نهاية متعددة. يختبر ما إذا كان WAF يفكك معاملات URL بشكل متكرر. |
| 02 | 02-html-entity-encoding.sh | curl, python3 | ترميز كيان HTML عشري وسداسي وبالاسم ومُصفَّر لحمولات الهجوم في كل من معاملات GET وأجسام POST. يشمل حقن القالب عبر {{7*7}}. |
| 03 | 03-unicode-utf8-evasion.sh | curl | إدراج مسافة عرض صفري (U+200B) وBOM (U+FEFF) وأحرف عرض كامل وواصلة ناعمة وZWNJ في كلمات مفتاحية لـ SQL ووسوم XSS. يختبر تسلسلات UTF-8 الزائدة عن الحد (ثنائية البايت وثلاثية البايت). |
| 04 | 04-mixed-nested-encoding.sh | curl | حمولات متعددة الطبقات: كيانات HTML مشفرة بـ URL وURL مزدوج داخل كيانات وحزم ثلاثية الطبقات وجسم JSON مع هروب Unicode (<) ونمط حقن القالب المحدد للمستخدم {{7*7}}. |
| 05 | 05-null-byte-iis-base64.sh | curl | حقن البايت الصفري (%00) لتجاوز الامتداد وترميز IIS %uXXXX Unicode وحمولات مشفرة بـ Base64 في معاملات URL مع علامات فك التشفير. |
| 06 | 06-case-chunked-evasion.sh | curl | تعشيش عشوائي للحالة مع الترميز (%3CsCrIpT%3E) وترميز النقل المجزأ لتقسيم كلمات مفتاحية SQL/XSS عبر أجزاء HTTP وفحوصات تعارض Content-Length/Transfer-Encoding وفواصل مسار بديلة (%5c، %c0%af). |
| 07 | 07-header-cookie-evasion.sh | curl | حمولات هجوم مشفرة مُحقنة عبر ترويسات Cookie وReferer وUser-Agent وX-Forwarded-For وX-Original-URL. يختبر ما إذا كان WAF يفحص جميع حقول ترويسة HTTP ويفككها، وليس فقط معاملات الاستعلام وأجسام POST. |
السلوك المتوقع لـ F5 XC: يجب أن يُطبّع WAF المُكوَّن بشكل صحيح جميع طبقات الترميز قبل مطابقة الأنماط. يجب حظر الحمولات المشفرة أحادياً فوراً. تكشف اختبارات الترميز المزدوج والثلاثي عن عمق خط أنابيب فك التشفير في WAF. تكشف اختبارات إدراج Unicode عما إذا كانت الأحرف غير المرئية تُجرَّد قبل مطابقة الكلمات المفتاحية. النتائج التي تمر فيها المتغيرات المشفرة بينما تُحظر مكافئاتها بنص عادي تشير إلى ثغرات في التطبيع في سياسة WAF.
web-app-attacks
Section titled “web-app-attacks”البرامج النصية: 6 | المدة التقديرية: 12-20 دقيقة
اختبار ثغرات تطبيق الويب OWASP Top 10 ضد Juice Shop وDVWA عبر F5 XC. يشمل حقن SQL وXSS وحقن الأوامر واجتياز المسار وفحص Nikto والفحص القائم على قوالب Nuclei. يستهدف تطبيقي Juice Shop وDVWA.
ميزة F5 XC: WAF (جدار حماية تطبيقات الويب)
| الترتيب | البرنامج النصي | الأدوات | الوصف |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | حمولات حقن SQL ضد واجهة برمجة بحث Juice Shop ونقطة نهاية SQLi في DVWA. يُشغّل عمليات فحص sqlmap الآلية ثم يرسل 10 حمولات حقن مباشرة مستندة إلى curl. |
| 02 | 02-xss.sh | dalfox, curl | البرمجة النصية العابرة للمواقع ضد نقاط نهاية XSS المنعكس/المخزن في Juice Shop وDVWA. يُشغّل عمليات الفحص الآلية لـ dalfox ثم يرسل 12 حمولة XSS مباشرة تشمل وسوم script ومعالجات الأحداث وسرقة ملفات تعريف الارتباط. |
| 03 | 03-command-injection.sh | curl | حمولات حقن أوامر نظام التشغيل ضد نقطة نهاية exec في DVWA. يرسل 12 حمولة تشمل سلاسل الأنابيب والفاصلة المنقوطة وأسطر URL المشفرة وأنماط الصدفة العكسية. |
| 04 | 04-path-traversal.sh | curl | اجتياز الأدلة ضد نقاط نهاية تطبيقات متعددة. يختبر اجتيازات ../ القياسية والمتغيرات المشفرة بـ URL والمتغيرات المشفرة مزدوجاً ومتغيرات البايت الصفري والمتغيرات Unicode عبر 6 مسارات نقاط نهاية. |
| 05 | 05-nikto-scan.sh | nikto | فحص كامل لثغرات خادم الويب بحد زمني 120 ثانية. يُنشئ طلبات HTTP متنوعة تُشغّل مطابقة توقيع WAF. |
| 06 | 06-nuclei-scan.sh | nuclei | فحص ثغرات قائم على القوالب على مستويات خطورة متوسطة وعالية وحرجة. محدود بمعدل 50 طلباً في الثانية. |
السلوك المتوقع لـ F5 XC: يجب أن يحظر WAF الطلبات التي تحتوي على حمولات حقن SQL وXSS وحقن الأوامر واجتياز المسار أو يُعلمها. ستُظهر لوحة تحكم أحداث الأمان فئات الانتهاكات ومعرفات التوقيع وتفاصيل الطلب لكل طلب محظور.